Standardpasswörter ändern

Tipp Nr. 1/2002: Kontrollieren Sie die Passwörter für die Systemadminstration in Ihrem Netz und ändern Sie sie gegebenenfalls. Achten Sie zum Beispiel auf folgende Fehlerquellen:

- Cisco Router werden ohne Passwort ausgeliefert. Bintec liefert mit dem User "admin" und dem Passwort "bintec" aus.

- Bei Installationen, die einem Test oder einer Pilotphase eines Projektes dienen, werden häufig Passwörter genutzt, die auch in Schulungen Anwendung finden. Manchmal tragen die Kursleiter oder die Teilnehmer einfach nur den Firmennamen ein. In solchem Zustand werden diese Installationen häufig in den Betrieb übergeben.

- Die Installation der Microsoft SQL Server Desktop Engine (MSDE), zum Beispiel Bestandteil von Visio und Office 2000 Professional, richtet auf Windows 9x/ME den Account des Datenbankadministrators "sa" ohne Passwort ein. Administratoren und Anwendern ist es oft gar nicht bewusst, dass sie damit einen vollwertigen SQL-Server betreiben. Außerdem stellt T-SQL "Stored Procedures" für das Ausführen von Kommandozeilenprogrammen bereit, die von Angreifern bequem genutzt werden können.

Im zuletzt genannten Fall ist es für den User nicht gerade einfach, das Passwort zu ändern, denn das geht nur mit einem Kommandozeilentool und einer recht kryptischen Befehlsfolge:

osql -U sa -Q "sp_password NULL, ´newpassword´" (jo)

www.networkworld.de/secucheck