Normalerweise arbeitet jeder Nutzer auf einem Windows System mit Benutzerrechten. Sobald eine Anwendung erweiterte Berechtigungen benötigt, wird ein Dialogfeld angezeigt. Hier muss der Nutzer nun bestätigen, dass das aufgerufene Programm mit administrativen Rechten ausgeführt werden kann. Im Gegensatz zu einem Linux-Betriebssystem sieht Windows standardmäßig hierfür nur ein Ja/Nein Abfrage vor.
Diesen Umstand machen sich nun die diversen BadUSB-Geräte, wie Rubber Ducky, Bash Bunny, Digispark oder MalDuino zu Nutze. Auf dieser Webseite werden Sie viele Beispiele finden, in denen dieser Zustand ausgenutzt wird. Mit einem kurzen Skript lassen sich so administrative Rechte auf Windows-PCs erlangen.
In diesem Beitrag zeige ich, wie Sie Ihr System mit einer kleinen Änderung in der Windows-Registry vor diesen Angriffen dauerhaft schützen können.
Soll z.B. die Kommandozeile unter Windows 10 mit administrativen Rechten gestartet werden, so reicht es in diesem Fall aus, wenn man im Ausführen-Fenster den Text „cmd“ eintippt und danach die Tastenkombination SHIFT+STRG+ENTER ausführt. Nach einer kurzen Wartezeit öffnet sich dann eine Abfrage, die der Nutzer mit „Ja“ bestätigen muss.
Als Ergebnis erhalten Sie nun ein Kommandozeilenfenster, in dem Sie Befehle mit administrativen Rechten ausführen können. Über die bereits angesprochenen BadUSB-Geräte lassen sich nun z.B. Keylogger oder Trojaner installieren oder andere Malware auf dem Zielsystem einschleusen.
Unter Windows ist der Wert „ConsentPromptBehaviorAdmin“ für dieses Verhalten zuständig. Standardmäßig ist er auf „5“ gesetzt.
Mit folgender Änderung in der Windows-Registry lässt sich sehr schnell der Schutz vor solchen Angriffen erhöhen. Rufen Sie dazu die Registry mit administrativen Rechten auf und öffnen Sie folgenden Eintrag:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Ändern Sie nun den Wert auf „1“ ab und bestätigen Sie dies mit „OK“. Die Einstellungen werden sofort wirksam.
Beim zukünftigen Aufrufen der Kommandozeile erhalten Sie nun ein anderes Fenster, in dem Sie nach dem Passwort des Administrators gefragt werden. Dies entspricht exakt dem Verhalten eines Linux-Systems.
Alternativ können Sie die Änderungen auch mit folgendem Befehl auf der Kommandoziele vornehmen: Der Schalter /f erzwingt in diesem Fall das Beschreiben des vorhandenen Registrierungseintrags.
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 1 /f

Die Einstellungen machen Sie wie folgt rückgängig:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 5 /f

Damit wir uns hier richtig verstehen: Mit dieser Änderung werden BadUSB-Angriffe nicht verhindert. Diese Einstellung erschwert aber das Erlangen administrativer Rechte auf Ihrem System. Ein sinnvollen Schutz kann nur durch ein gezieltes Schnittstellenmanagement erreicht werden. Derzeit existieren viele Anbieter auf dem Markt, die erfolgversprechende Lösungen anbieten.
Stellvertretend sind hier, ohne eine Bewertung abzugeben, drei Produkte genannt: