Nicht alle der in dem Kapitel Anforderungen an Betriebssysteme formulierten Anforderungen können ausschliesslich auf Betriebssystemebene umgesetzt werden. Um nach dem Anschalten des Arbeitsplatz-PC zu garantieren, dass die lokalen Sicherheitsmechanismen von Windows NT auch zum Zuge kommen, müssen auf BIOS-Ebene entsprechende Massnahmen getroffen werden. Sofern es beispielsweise gelingt, den NT-Rechner unter MS-DOS zu starten, können sämtliche lokalen NT-Mechanismen umgangen werden. Es existieren frei verfügbare Programme, die es unter MS-DOS ermöglichen, NTFS-formatierte Datenträger ohne Zugriffsbeschränkung zu lesen und zu manipulieren. Auch kann über das CD-ROM-Laufwerk eine Neuinstallation durchgeführt werden, so dass bestehende Sicherheitseinstellungen ausser Kraft gesetzt werden.
Aus diesem Grund sollte auf dem Rechner neben NT kein weiteres Betriebssystem zur Verfügung stehen. Das Booten von Diskette oder CD-ROM sollte durch entsprechende Konfiguration des Basic Input Output System (BIOS) verhindert werden. Um auszuschliessen, dass die restriktiv wirkenden BIOS-Einstellungen nicht unbefugt verändert werden, sollte das BIOS nur nach vorheriger Passworteingabe konfiguriert werden können. Auf die generelle Passwortabfrage beim Systemstart auf BIOS-Ebene kann dagegen verzichtet werden, da die Authentisierung des Benutzers durch Windows NT vorgenommen wird.
Allerdings gibt es Möglichkeiten, die Schutzwirkungen von BIOS-Einstellungen auch ohne Kenntnis des BIOS-Passwort wieder aufzuheben. Zum einen besteht die Möglichkeit, die BIOS-Einträge durch Manipulation der Hardware zu löschen. Die BIOS-Einträge werden in CMOS-RAM-Bauteilen gespeichert, die eine ständige Stromversorgung benötigen. Wird diese Stromversorgung unterbrochen, werden die sicherheitsrelevanten Einträge einschliesslich des BIOS-Passwortes gelöscht. Es sollten daher Massnahmen wie Gehäuseschlösser getroffen werden, die ein Öffnen des Gerätes verhindern, wenn ein unbeobachteter unberechtigter Zugang zu dem PC nicht ausgeschlossen werden kann.
Zum anderen existieren zahlreiche Softwareprogramme, mit denen die BIOS-Konfiguration geändert und das Passwort ausgelesen werden können. Beispielsweise kann mit Hilfe des zur Standard-Installation von Windows NT gehörenden Programms Q-BASIC das gesamte CMOS gelöscht werden, so dass sämtliche Einstellungen im BIOS verloren gehen. Das gleiche lässt sich mit dem Microsoft-Programm DEBUG.EXE erzielen, das ebenfalls zur Standardinstallation eines Windows-Betriebssystems gehört. Die Eingabe einer bestimmten Sequenz bewirkt, dass das BIOS-Passwort ge-löscht wird und somit die BIOS-Parameter ohne Eingabe des BIOS-Passwortes bearbeitet werden können.
Darüber hinaus sind einige Crack-Programme im Internet verfügbar, die versuchen BIOS-Passwörter auszuprobieren. Da das Passwort bei einigen BIOS-Systemen (z.B. AWARD-BIOS) durch eine Hash-Funktion lediglich auf 2 Byte reduziert und abgespeichert wird, sind solche Programme relativ schnell erfolgreich. Dabei kann sich das erratene Passwort deutlich vom Originalpasswort unterscheiden. Die Crack-Programme generieren solange Zeichenfolgen, bis deren Hash-Wert dem gespeicherten Wert identisch ist. Für das Erraten von Passwörtern mit Hilfe derartiger Crack-Programme ist die Länge und die Qualität des Originalpasswortes unerheblich. Auch für 8-stellige Originalpasswörter, die aus Buchstaben, Ziffern und Sonderzeichen zusammengesetzt sind, können sehr schnell Zeichenfolgen ermittelt werden, die auf den gleichen 2Byte-Hashwert abgebildet werden.
Der Einsatz von Software zur Manipulation von BIOS-Einträgen setzt zwar die Inbetriebnahme des Gerätes voraus und ist insofern unproblematisch, wenn durch BIOS-Massnahmen Aussenstehende vom Rechner ferngehalten werden sollen. In den Fällen, in denen jedoch das Laden eines anderen Betriebssystems durch den berechtigten Benutzer selbst verhindert werden soll, stellen deratige Programme gleichwohl ein Problem dar. Allerdings können Manipulationen des BIOS zumindest nachträglich erkannt werden, da das BIOS-Passwort entweder verändert oder gelöscht wurde. Programme wie Q-BASIC und DEBUG, die im allgemeinen vom Benutzer nicht benötigt werden, sollten gleichwohl nicht auf dem Arbeitsplatz-PC verfügbar sein.
Zurück zur Übersicht Windows NT
