Jeder kennt es: Der Computer in der Schule, sei es im Klassenzimmer, im Computerraum oder als Leihgerät, ist oft streng konfiguriert. Bestimmte Programme lassen sich nicht installieren, Einstellungen nicht ändern und selbst einfache Software-Updates scheitern an fehlenden Rechten. Der Grund ist meist ein lokaler Administrator-Account, dessen Passwort nur der IT-Abteilung bekannt ist. Doch was, wenn dieser vermeintlich sichere Zugang nicht ganz so undurchdringlich ist, wie man denkt?
Dieser Artikel beleuchtet die gängigsten Methoden, wie auf einem Windows-basierten Schul-PC der lokale Administratorzugang umgangen oder zurückgesetzt werden kann. Unser Ziel ist es jedoch nicht, zum Missbrauch aufzurufen. Ganz im Gegenteil: Wir möchten Lehrkräfte, Eltern und vor allem IT-Administratoren für die existierenden Sicherheitslücken sensibilisieren, damit sie Schulsysteme besser schützen können. Unautorisierter Zugriff auf Computersysteme ist illegal und kann schwerwiegende rechtliche Konsequenzen haben. Diese Informationen dienen ausschließlich Bildungszwecken und zur Stärkung der IT-Sicherheit an Bildungseinrichtungen.
Die Achillesferse von Schul-PCs: Warum lokale Admin-Rechte ein Problem sind
Schul-PCs sind oft eine Gratwanderung zwischen Benutzerfreundlichkeit und Sicherheit. Einerseits sollen Schüler und Lehrer uneingeschränkt lernen und arbeiten können, andererseits müssen die Geräte vor Manipulation, Viren und unerwünschter Software geschützt werden. Viele IT-Abteilungen lösen dies, indem sie normale Benutzerkonten ohne Administratorrechte einrichten und den lokalen Administrator streng verwalten.
Das Problem beginnt oft mit fehlenden Ressourcen. Budgetzwänge, Zeitmangel und eine hohe Anzahl an Geräten führen dazu, dass grundlegende Sicherheitsmaßnahmen vernachlässigt werden. Standardpasswörter, ungepatchte Systeme oder eine lockere physische Sicherheit können Einfallstore schaffen. Zudem müssen viele ältere Anwendungen oder spezielle Bildungssoftware mit Administratorrechten ausgeführt werden, was die IT vor Herausforderungen stellt. Manchmal benötigen auch Lehrer temporäre Admin-Rechte, um Software für den Unterricht zu installieren, was die Passwortweitergabe vereinfacht und somit die Sicherheit gefährdet.
Die größte Schwachstelle ist jedoch oft die physische Zugänglichkeit. Im Gegensatz zu Servern in Rechenzentren oder geschäftlichen Laptops, die oft unter strenger Aufsicht stehen, sind Schul-PCs in Klassenzimmern, Bibliotheken oder auf Leihbasis für eine Vielzahl von Personen physisch erreichbar. Und genau hier setzt das „Knacken” von Administratorzugängen an: Mit physischem Zugriff lassen sich viele softwareseitige Schutzmechanismen umgehen.
Methoden zum Umgehen des lokalen Administratorzugangs
Die folgenden Methoden beschreiben technische Wege, wie ein lokaler Administratorzugang auf einem Windows-PC, auf dem grundlegende Schutzmechanismen wie ein BIOS-/UEFI-Passwort oder eine Festplattenverschlüsselung fehlen, kompromittiert werden kann. Wir gehen dabei von einem Szenario aus, in dem physischer Zugriff auf den PC besteht.
Methode 1: Passwort-Reset über bootfähiges Medium (Offline NT Password & Registry Editor)
Dies ist eine der klassischsten und effektivsten Methoden. Sie basiert darauf, das System nicht über die installierte Windows-Version zu starten, sondern über ein externes Medium. Wenn der PC von einem USB-Stick oder einer CD/DVD booten kann und diese Option nicht durch ein BIOS-Passwort oder Secure Boot eingeschränkt ist, steht dem Angreifer die Tür offen.
So funktioniert das Prinzip:
- Vorbereitung eines bootfähigen Mediums: Man benötigt einen USB-Stick oder eine CD/DVD mit einem speziellen Betriebssystem oder Tool. Beliebte Optionen sind der „Offline NT Password & Registry Editor” (oft kurz „chntpw” genannt), eine Linux Live-Distribution (z.B. Ubuntu) oder eine Multifunktions-Boot-CD wie Hiren’s BootCD PE. Diese Medien enthalten Programme, die in der Lage sind, auf die Windows-Partition zuzugreifen.
- Booten vom Medium: Der Schul-PC wird neu gestartet. Beim Start wird eine Taste gedrückt (oft F2, F10, F12, Entf), um ins BIOS/UEFI-Menü oder ins Boot-Menü zu gelangen. Dort wird die Boot-Reihenfolge so geändert, dass zuerst vom USB-Stick oder der CD gebootet wird.
- Zugriff auf die SAM-Datei: Nach dem Start des externen Systems sucht man die Windows-Systempartition. Windows speichert Benutzerkonteninformationen, einschließlich gehashter Passwörter, in der Security Account Manager (SAM)-Datei, die sich typischerweise unter
C:WindowsSystem32configSAMbefindet. - Passwort-Reset oder -Änderung:
- Mit Tools wie chntpw kann man die SAM-Datei direkt manipulieren. Das Tool listet die lokalen Benutzerkonten auf und ermöglicht es, das Passwort für den lokalen Administrator (oder jedes andere lokale Konto) zu löschen oder auf ein leeres Passwort zu setzen.
- Alternativ kann man mit einer Linux Live-Distribution die SAM-Datei kopieren (was aber schwieriger ist, da sie im Betrieb gesperrt ist, hier müsste man mit Tools auf die Offline-Version zugreifen) oder direkt Tools wie
chntpwüber das Linux-Terminal nutzen.
- Neustart: Nach dem erfolgreichen Reset des Passworts wird der PC ohne das externe Medium neu gestartet. Man kann sich nun ohne Passwort oder mit einem leeren Passwort als lokaler Administrator anmelden.
Methode 2: Der „Sticky Keys” / sethc.exe Trick (eine Variante der oben genannten Methode)
Diese Methode ist eine raffinierte Abwandlung der Passwort-Reset-Strategie und nutzt eine Windows-Barrierefreiheitsfunktion aus. Sie erfordert ebenfalls einen bootfähigen USB-Stick, ist aber besonders wirksam, da sie beim nächsten Boot ein Command Prompt mit Systemrechten auf dem Anmeldebildschirm zur Verfügung stellt.
So funktioniert das Prinzip:
- Booten vom Medium: Wie in Methode 1 wird der Schul-PC von einem bootfähigen Medium (z.B. einer Windows-Installations-DVD/USB, einem Linux Live-System oder Hiren’s BootCD PE) gestartet. Man wählt dann die Option, die eine Eingabeaufforderung (Command Prompt) zur Verfügung stellt (z.B. „Computer reparieren” bei Windows-Installationsmedien).
- Ersetzen von
sethc.exe: Man navigiert zum Windows-Verzeichnis (typischerweiseC:WindowsSystem32). Dort befindet sich die Dateisethc.exe. Dies ist das Programm, das gestartet wird, wenn man fünfmal die Shift-Taste drückt (die „Sticky Keys” oder Einrastfunktion).- Man benennt die Originaldatei
sethc.exeum (z.B. insethc.bak). - Dann kopiert man die Datei
cmd.exe(die Eingabeaufforderung) und benennt die Kopie insethc.exeum. - Kurz gesagt:
copy C:WindowsSystem32cmd.exe C:WindowsSystem32sethc.exe(nachdemsethc.exeumbenannt/gesichert wurde).
- Man benennt die Originaldatei
- Neustart und Admin-Zugriff: Der PC wird ohne das externe Medium neu gestartet. Sobald man auf dem Windows-Anmeldebildschirm ist, drückt man fünfmal schnell die Shift-Taste. Anstatt der Einrastfunktion öffnet sich nun ein Command Prompt – und zwar mit den Rechten des Systems (Administrator)!
- Passwort ändern: In diesem Command Prompt kann man nun folgende Befehle eingeben:
net user Administrator [neues_Passwort]: Hiermit wird das Passwort des lokalen Administrator-Kontos geändert.net localgroup Administratoren [Benutzername] /add: Wenn man ein anderes lokales Benutzerkonto zu den Administratoren hinzufügen möchte, kann man dies hiermit tun.- Alternativ kann man auch
lusrmgr.mscstarten, um eine grafische Oberfläche zur Benutzerverwaltung zu erhalten (oft muss der Pfad angegeben werden, z.B.C:WindowsSystem32lusrmgr.msc).
Methode 3: Extrahieren der SAM-Datei und Offline-Cracking
Diese Methode ist technisch anspruchsvoller, aber ebenso effektiv. Sie zielt darauf ab, die gehashten Passwörter aus der SAM-Datei zu extrahieren und dann auf einem anderen, leistungsstärkeren Computer zu „knacken”.
So funktioniert das Prinzip:
- Zugriff und Extraktion: Wieder wird von einem bootfähigen Medium gestartet. Mit speziellen Tools (oft auf Hiren’s BootCD PE oder in Linux-Distributionen enthalten, z.B.
samdump2,pwdump) kann die SAM-Datei (und die zugehörige SYSTEM-Datei, die für die Entschlüsselung der Hashes notwendig ist) extrahiert werden. Da die SAM-Datei im laufenden Windows gesperrt ist, muss sie von einem externen System aus kopiert werden. - Offline-Cracking: Die extrahierten Hash-Werte werden auf einen anderen Computer übertragen. Dort kommen Programme wie John the Ripper oder Hashcat zum Einsatz, die versuchen, aus den Hashes die ursprünglichen Passwörter zu ermitteln. Dies kann durch Wörterbuchangriffe, Brute-Force-Angriffe oder Hybridangriffe geschehen. Die Erfolgschance hängt von der Komplexität des ursprünglichen Passworts ab. Bei einfachen Passwörtern ist dies oft eine Sache von Sekunden oder Minuten.
- Anmeldung: Sobald das Passwort ermittelt wurde, kann man sich auf dem Schul-PC als lokaler Administrator anmelden.
Warum diese Methoden funktionieren: Die Kern-Sicherheitslücken
Die oben beschriebenen Angriffe basieren auf grundlegenden Schwachstellen, die oft in der IT-Infrastruktur von Schulen anzutreffen sind:
- Fehlendes BIOS/UEFI-Passwort: Wenn das Starten von externen Medien nicht durch ein Passwort im BIOS/UEFI geschützt ist, kann jeder mit physischem Zugriff das System umgehen.
- Keine Festplattenverschlüsselung (z.B. BitLocker): Eine Festplattenverschlüsselung wie BitLocker (oder Alternativen) würde verhindern, dass die SAM-Datei im Klartext ausgelesen oder manipuliert werden kann. Selbst wenn man von einem USB-Stick bootet, wäre der Zugriff auf die verschlüsselten Daten ohne den Entschlüsselungsschlüssel nicht möglich.
- Physischer Zugriff: Solange physischer Zugriff auf den PC besteht, ist es extrem schwierig, solche Angriffe vollständig zu verhindern, es sei denn, man setzt auf eine umfassende Endpunkt-Sicherheit.
- Vernachlässigung von Secure Boot: Obwohl Secure Boot das Starten von nicht signierter Software blockieren kann, ist es oft nicht ausreichend konfiguriert oder deaktiviert, was das Booten von manipulierten Medien ermöglicht.
Schutzmaßnahmen: Wie man Schul-PCs sicher macht
Die gute Nachricht ist: Alle genannten Angriffe können mit den richtigen Sicherheitsmaßnahmen effektiv vereitelt werden. Hier sind die wichtigsten Schritte für IT-Administratoren:
- BIOS/UEFI-Passwort setzen und Boot-Reihenfolge sichern:
- Setzen Sie ein starkes Passwort für das BIOS/UEFI, um unautorisierte Änderungen an der Boot-Reihenfolge zu verhindern.
- Deaktivieren Sie das Booten von USB-Sticks, CDs/DVDs oder Netzwerken, wenn dies nicht explizit benötigt wird. Die Boot-Reihenfolge sollte nur die interne Festplatte umfassen.
- Aktivieren Sie Secure Boot und stellen Sie sicher, dass nur vertrauenswürdige Betriebssystem-Bootloader geladen werden können.
- Festplattenverschlüsselung (BitLocker):
- Implementieren Sie eine vollumfängliche Festplattenverschlüsselung wie BitLocker für alle Schul-PCs. Dies ist die effektivste Methode, um den direkten Zugriff auf Systemdateien wie die SAM-Datei zu unterbinden, selbst wenn ein Angreifer von einem externen Medium bootet.
- Stellen Sie sicher, dass die Wiederherstellungsschlüssel sicher verwaltet werden, idealerweise in einem zentralen System wie Azure AD oder Microsoft Endpoint Manager.
- Starke und einzigartige lokale Administratorpasswörter:
- Verwenden Sie für jeden PC ein einzigartiges, komplexes Passwort für den lokalen Administrator.
- Nutzen Sie Lösungen wie Microsoft LAPS (Local Administrator Password Solution), um die Passwörter der lokalen Administratorkonten zufällig zu generieren, regelmäßig zu rotieren und sicher im Active Directory zu speichern.
- Standard-Administrator umbenennen und deaktivieren:
- Benennen Sie das Standard-Administratorkonto um und deaktivieren Sie es, falls es nicht zwingend benötigt wird. Erstellen Sie stattdessen ein neues Konto mit Administratorrechten und einem starken Passwort.
- Physische Sicherheit:
- Sichern Sie Computer in Klassenzimmern und Computerräumen gegen unbefugten Zugriff. Monitor-Schlösser, Gehäuse-Schlösser oder sogar das Einmauern von PCs können helfen, direkten physischen Zugriff zu erschweren.
- Überwachen Sie die Geräte, insbesondere Leihgeräte, auf Manipulationen.
- Regelmäßige Updates und Patches:
- Halten Sie Windows und alle installierte Software stets auf dem neuesten Stand, um bekannte Schwachstellen zu schließen.
- Endpoint Detection and Response (EDR) Lösungen:
- EDR-Lösungen können verdächtige Aktivitäten auf den Endgeräten erkennen und melden, selbst wenn ein Angreifer Admin-Rechte erlangt hat.
- Schulung und Sensibilisierung:
- Informieren Sie Lehrer und Schüler über die Bedeutung von IT-Sicherheit, über die Risiken unautorisierter Zugriffe und die ethischen sowie rechtlichen Konsequenzen. Eine gute Sicherheitskultur ist ebenso wichtig wie technische Maßnahmen.
Ethische und rechtliche Verantwortung
Es ist uns ein großes Anliegen, noch einmal zu betonen: Die in diesem Artikel beschriebenen Methoden sind keine Aufforderung zum Missbrauch. Der unbefugte Zugriff auf Computersysteme ist in Deutschland nach § 202a StGB (Ausspähen von Daten) und § 303b StGB (Computersabotage) strafbar und kann mit Freiheitsstrafen geahndet werden. Auch das Verändern von Daten (§ 303a StGB) ist strafbar.
Die Bereitstellung dieser Informationen dient ausschließlich der Aufklärung über Sicherheitslücken und soll dazu beitragen, die IT-Sicherheit in Bildungseinrichtungen zu verbessern. Jeder, der diese Methoden anwendet, um sich unbefugten Zugang zu verschaffen, handelt illegal und ist für die Konsequenzen selbst verantwortlich.
Fazit
Der scheinbar unüberwindbare lokale Administratorzugang auf Schul-PCs ist bei weitem nicht so sicher, wie viele IT-Verantwortliche hoffen. Mit physischem Zugriff und den richtigen Tools lassen sich viele Standardkonfigurationen relativ leicht umgehen. Diese Sicherheitslücken stellen nicht nur ein Risiko für die Systemintegrität dar, sondern auch für den Datenschutz und die pädagogische Arbeit.
Es liegt in der Verantwortung der Schulträger und IT-Administratoren, moderne Schutzmaßnahmen wie BIOS/UEFI-Passwörter, Festplattenverschlüsselung und zentrale Passwortmanagement-Lösungen wie LAPS konsequent zu implementieren. Nur so kann gewährleistet werden, dass die IT-Infrastruktur an Schulen sicher ist und unbefugte Manipulationen effektiv verhindert werden. Die Investition in umfassende IT-Sicherheit ist eine Investition in die Bildung und den Schutz unserer Daten.