Как предотвратить взлом sethc.exe?

Существует эксплойт, который позволяет пользователям сбросить пароль администратора в Windows. Это делается путем загрузки с диска восстановления, запуска командной строки и замены C: \ Windows \ System32 \ sethc.exe на C: \ Windows \ System32 \ cmd.exe.

Когда на экране входа в систему нажимается комбинация клавиш, пользователи получают доступ к командной строке с правами администратора.

Это огромная дыра в безопасности, которая делает ОС уязвимой для любого, кто имеет хоть малейшие знания в области ИТ. Это почти заставляет вас хотеть переключиться на Mac или Linux. Как это можно предотвратить?

Чтобы предотвратить загрузку злоумышленника с диска восстановления и использовать его для получения доступа к вашей системе, необходимо выполнить несколько шагов. В порядке важности:

• Используйте настройки BIOS / UEFI, чтобы предотвратить загрузку со съемного носителя, или введите пароль для загрузки с внешнего носителя. Процедура для этого варьируется от материнской платы к материнской плате.
• Закрой свою башню. Обычно существует способ сброса настроек BIOS / UEFI (включая пароли), если злоумышленник получает физический доступ к материнской плате, поэтому вы можете предотвратить это. То, как далеко вы зайдете, зависит от таких факторов, как важность данных, которые вы защищаете, степень защищенности ваших злоумышленников, вид физической безопасности, ведущей к вашей рабочей станции (например, в офисе, доступ к которому могут получить только коллеги или находится ли он в изолированной зоне, открытой для публики), и сколько времени типичному злоумышленнику придется нарушить вашу физическую безопасность, не будучи замеченным.
• Используйте какой-либо тип шифрования диска, такой как BitLocker или TrueCrypt. Хотя это не помешает выделенному злоумышленнику переформатировать вашу систему, если он сможет получить физический доступ и сбросить пароль BIOS, это не позволит практически любому получить доступ к вашей системе (при условии, что вы хорошо защищаете свои ключи, а у злоумышленника нет доступ к любым бэкдорам).

Проблема здесь заключается в физическом доступе к машине. Отключите возможность загрузки с CD / USB и заблокируйте BIOS с помощью пароля. Однако это не помешает кому-то, у которого достаточно времени наедине с машиной, взломать ее различными способами.

SETHC.exe также может быть заменен копией explorer.exe (или любого другого .exe), обеспечивающего полный доступ к уровню системы с экрана входа в систему. Не повторять других, но если вы говорите о безопасности сервера, я думаю, что определенный уровень физической безопасности уже существует. Сколько, зависит от приемлемого риска, изложенного вашей организацией.

Я отправляю это, чтобы возможно пойти другим путем. Если вы обеспокоены тем, что сообщество пользователей в вашей организации может или будет делать это с рабочими станциями Windows 7 (как вы описали в вопросе), единственный способ обойти эти типы атак - это «перенести» вычисления в центр обработки данных. Это может быть достигнуто с любым количеством технологий. Я выберу продукты Citrix для краткого обзора процесса, хотя многие другие поставщики предлагают аналогичные предложения. Используя XenApp, XenDesktop, Machine Creation Services или Provisioning Services, вы можете «переместить» рабочую станцию ​​в центр обработки данных. На этом этапе (если ваш центр обработки данных защищен) у вас есть физическая защита рабочей станции. Вы можете использовать тонкие клиенты или полностью работоспособные рабочие станции для доступа к рабочему столу, расположенному в центре обработки данных. В любом из этих сценариев вам понадобится гипервизор в качестве рабочей лошадки. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск, независимо от того, скомпрометировано оно или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т. Д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, выигрыш от этой конечной точки невозможен. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск, независимо от того, скомпрометировано оно или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т. Д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, выигрыш от этой конечной точки невозможен. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск, независимо от того, скомпрометировано оно или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т. Д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, выигрыш от этой конечной точки невозможен. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. и даже если рабочая станция или тонкий клиент скомпрометированы, с этой конечной точки невозможно получить никакой выгоды. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. и даже если рабочая станция или тонкий клиент скомпрометированы, с этой конечной точки невозможно получить никакой выгоды. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ.

Просто отключите запуск подсказок при нажатии клавиши Shift 5 раз. Затем, когда CMD переименован в SETHC, он не появится. Решаемые.

Win7:

1. Пуск> введите "изменить работу клавиатуры"
2. Нажмите первый вариант
3. Нажмите настроить липкие ключи
4. Снимите флажок включения липких клавиш при нажатии клавиши Shift 5 раз.

Вам действительно не нужно иметь диск или образ Windows на USB, чтобы заставить эксплойт работать. Я пытаюсь сказать, что отключение ПК от запуска с диска, отличного от внутреннего системного диска, не помешает выполнению эксплойта. Этот обходной путь выполняется путем перезагрузки компьютера при запуске и использования восстановления при запуске для получения доступа к файловой системе для переименования CMD в SETHC. Конечно, это тяжело на диске, но если вы взломали чужую машину, вам все равно.