Mehr Windows-Sicherheit: Verhindern, dass jemand das Windows-Kennwort löscht

Windows-Rechner sind meist mit einem Kennwort geschützt. Der Kennwortschutz ist allerdings nicht besonders sicher. Mit eine bootfähigen CD oder per USB-Stick lässt sich das Administrator Kennwort resetten. Der schöne Passwortschutz ist dann dahin. Jeder kann ungehindert auf der Rechner zugreifen. Um Windows wirklich zu schützen, kann man einen Schritt weiter gehen und zusätzlich die Passwortdatenbank verschlüsseln. Das geht ganz einfach.

Syskey verschlüsselt die SAM-Datenbank von Windows

Damit sich das Administrator-Kennwort per Boot-CD oder USB-Stick nicht mehr resetten und zurücksetzen lässt, gibt es in Windows das versteckte Tool „Syskey“. Es verschlüsselt die Kontodatenbank und schützt sie mit einem separaten Extra-Passwort. Die meisten Administratoren setzen Syskey allerdings nicht ein, da man dann nicht mehr an sein Windows-Kennwort kommt, wenn man das Passwort vergessen hat.

Bevor man die Zusatzsicherheit aktiviert, sollte man also selbst abwägen: möchte man maximale Sicherheit, oder möchte man im Notfall (wenn man das Passwort vergisst) über Umwege trotzdem an sein Windows-Konto gelangen. Die letzte Variante ist zwar die bequemere; allerdings sollte man sich im Klaren sein, dass dann auch andere ohne Probleme das Windows-Konto knacken können.

Wer das nicht möchte, kann folgendermaßen eine Extra-Sicherheitsstufe einbauen und die Kontodatenbank verschlüsseln. Beim Booten muss man dann vor dem eigentlichen Windows-Login noch das Kennwort für die Kontodatenbank eingeben. So wird die zusätzliche Kennwortsperre aktiviert:

1. Drücken Sie die Tastenkombination [Windows-Taste][R], geben Sie syskey ein, und klicken Sie auf OK.

2. Im ersten Fenster klicken Sie auf Aktualisieren, um die Verschüsselung der Kontodatenbank zu aktivieren.

windows-kennword-datenbank-syskey-verschluesseln

3. Im nächsten Fenster wählen Sie die Option Kennwort für den Systemstart und geben zwei Mal das gewünschte Kennwort ein. Achtung:  Es gibt keine Möglichkeit, das Passwort später zu knacken. Wer es vergisst, kommt nie mehr an sein Windows-Konto heran. Man kann den Kennwortschutz aber wieder deaktivieren; wie, steht weiter unten.

Das war’s. Ab sofort ist das Windows-Konto mit einem zusätzlichen Kennwort geschützt. Beim Starten des Rechners müssen Sie als vor der Eingabe des eigentlichen Windows-Kennwort das Passwort für die Kontodatenbank eingeben. Das gilt allerdings nur für den normalen Rechnerstart und nicht beim Fortsetzen aus dem Ruhezustand.

Kontodatenbank-Kennwort wieder deaktivieren

Wer die zusätzliche Passwort-Sicherheit nicht mehr benötigt, kann sie wieder abschalten. Dazu die obigen Schritte wiederholen und im Fenster Schlüssel für den Systemstart die Optionen Vom System generiertes Kennwort und Systemstartschlüssel lokal speichern aktivieren. Danach müssen Sie noch einmal das richtige Kennwort eingeben, um den Schutz endgültig zu deaktivieren.

Die mobile Version verlassen