Як запобігти злому sethc.exe?

Існує подвиг, який дозволяє користувачам скинути пароль адміністратора в Windows. Це робиться завантаженням з ремонту диска, запуском командного рядка та заміною C: \ Windows \ System32 \ sethc.exe на C: \ Windows \ System32 \ cmd.exe.

Коли на екрані входу натискають комбінацію клейких клавіш, користувачі отримують доступ до командного рядка з правами адміністратора.

Це величезна дірка у безпеці, робить ОС вразливою для будь-кого, хто має навіть найменші знання про ІТ. Це майже змушує вас перейти на Mac чи Linux. Як це можна запобігти?

Щоб запобігти завантаженню зловмисника з ремонту диска і використовувати його для отримання доступу до вашої системи, вам слід зробити кілька кроків. У порядку важливості:

• Використовуйте свої налаштування BIOS / UEFI, щоб запобігти завантаженню зі змінних носіїв або вимагати пароль для завантаження із зовнішніх носіїв. Процедура цього варіюється від материнської до материнської.
• Замкніть свою башту. Зазвичай існує спосіб скидання налаштувань BIOS / UEFI (включаючи паролі), якщо зловмисник отримує фізичний доступ до материнської плати, тому ви хочете запобігти цьому. Наскільки далеко ви йдете, залежить від таких факторів, як важливість даних, які ви захищаєте, наскільки віддані ваші зловмисники, вид фізичної безпеки, що веде до вашої робочої станції (наприклад, це офіс, до якого можуть отримати доступ лише співробітники або чи знаходиться в ізольованому для громадськості районі), і скільки часу типовому зловмиснику доведеться порушити вашу фізичну безпеку, не побачивши.
• Використовуйте якесь шифрування диска, наприклад, BitLocker або TrueCrypt. Хоча це не зупинить спеціального зловмисника від переформатування вашої системи, якщо вони зможуть отримати фізичний доступ та скинути пароль вашого BIOS, він майже не зупинить доступ до вашої системи (якщо припустимо, що ви добре захищаєте ваші ключі та у вашого зловмисника немає доступ до будь-якого заднього куточка).

Проблема тут - фізичний доступ до машини. Вимкніть можливість завантаження з CD / USB та заблокуйте BIOS паролем. Однак це не завадить комусь, хто має достатньо часу наодинці з машиною, ввірватися в неї численними різними методами.

SETHC.exe також може бути замінено копією Explor.exe (або будь-якої іншої .exe), що також забезпечує повний доступ на системному рівні з екрана входу. Не повторювати інших, але якщо ви говорите про безпеку сервера, я б подумав, що певна кількість фізичної безпеки вже існує. Скільки залежить від прийнятного ризику, окресленого вашою організацією.

Я публікую це, щоб, можливо, піти іншим маршрутом. Якщо ви стурбовані тим, що спільнота користувачів у вашій організації може або зробить це на робочих станціях Windows 7 (як ви описали в запитанні), єдиний спосіб обійти ці типи атак - "перемістити" обчислення в центр обробки даних. Це можна досягти за допомогою будь-якої кількості технологій. Я підберу продукти Citrix, щоб коротко ознайомитись із процесом, хоча багато інших постачальників пропонують подібні пропозиції. За допомогою XenApp, XenDesktop, служб створення машин або служб надання послуг ви можете "перемістити" робочу станцію в центр обробки даних. У цей момент (доки ваш центр обробки даних захищений) у вас є фізична безпека робочої станції. Ви можете використовувати тонких клієнтів або повністю спроможні робочі станції для доступу до робочого столу, розміщеного з центру обробки даних. У будь-якому з цих сценаріїв вам знадобиться гіпвервізор як робочий коник. Ідея полягає в тому, що стан безпеки фізичної машини, на якій знаходиться користувач, становить малий ризик, незалежно від того, порушено він чи ні. В основному фізичні робочі станції мають доступ лише до дуже обмеженої кількості ресурсів (AD, DHCP, DNS тощо). При такому сценарії всі дані та весь доступ надаються лише до віртуальних ресурсів постійного струму, і навіть якщо робоча станція або тонкий клієнт порушені, жодного посилення з цієї кінцевої точки не може бути. Цей тип налаштування більше підходить для великих підприємств або середовищ високої безпеки. Просто думав, що я викину це як можливу відповідь. Ідея полягає в тому, що стан безпеки фізичної машини, на якій знаходиться користувач, становить малий ризик, незалежно від того, порушено він чи ні. В основному фізичні робочі станції мають доступ лише до дуже обмеженої кількості ресурсів (AD, DHCP, DNS тощо). При такому сценарії всі дані та весь доступ надаються лише до віртуальних ресурсів постійного струму, і навіть якщо робоча станція або тонкий клієнт порушені, жодного посилення з цієї кінцевої точки не може бути. Цей тип налаштування більше підходить для великих підприємств або середовищ високої безпеки. Просто думав, що я викину це як можливу відповідь. Ідея полягає в тому, що стан безпеки фізичної машини, на якій знаходиться користувач, становить малий ризик, незалежно від того, порушено він чи ні. В основному фізичні робочі станції мають доступ лише до дуже обмеженої кількості ресурсів (AD, DHCP, DNS тощо). При такому сценарії всі дані та весь доступ надаються лише до віртуальних ресурсів постійного струму, і навіть якщо робоча станція або тонкий клієнт порушені, жодного посилення з цієї кінцевої точки не може бути. Цей тип налаштування більше підходить для великих підприємств або середовищ високої безпеки. Просто думав, що я викину це як можливу відповідь. і навіть якщо робоча станція або тонкий клієнт порушені, жоден приріст від цієї кінцевої точки не може бути. Цей тип налаштування більше підходить для великих підприємств або середовищ високої безпеки. Просто думав, що викину це як можливу відповідь. і навіть якщо робоча станція або тонкий клієнт порушені, жоден приріст від цієї кінцевої точки не може бути. Цей тип налаштування більше підходить для великих підприємств або середовищ високої безпеки. Просто думав, що викину це як можливу відповідь.

Просто відключіть запуску клейких клавіш, коли натискаєте кнопку shift 5 разів. Потім, коли CMD буде перейменовано на SETHC, воно не з’явиться. Вирішено.

Win7:

1. Пуск> введіть "змінити, як працює ваша клавіатура"
2. Клацніть перший варіант
3. Клацніть налаштувати липкі клавіші
4. Зніміть прапорець, щоб увімкнути липкі клавіші, коли натискати на зміну 5 разів.

Вам не потрібно мати диск Windows або зображення на USB або для того, щоб експлуатація працювала. Я намагаюся сказати, що відключення ПК від запуску з іншого диска, ніж внутрішній системний привід, не завадить виконувати експлуатацію. Таке вирішення виконується шляхом скидання комп'ютера під час його запуску та використання ремонту при запуску, щоб отримати доступ до файлової системи для перейменування CMD у SETHC. Звичайно, на дисковому диску це важко, але якщо ви вриваєтесь в чужу машину, то вам це зовсім не байдуже.