วิธีการป้องกันการแฮ็ค sethc.exe

มีช่องโหว่ที่อนุญาตให้ผู้ใช้รีเซ็ตรหัสผ่านของผู้ดูแลระบบบน Windows ทำได้โดยการบูตจากดิสก์ซ่อมแซมเริ่มต้นพรอมต์คำสั่งและแทนที่ C: \ Windows \ System32 \ sethc.exe ด้วย C: \ Windows \ System32 \ cmd.exe

เมื่อมีการกดปุ่มร่วมกันที่หน้าจอเข้าสู่ระบบผู้ใช้จะสามารถเข้าถึงพรอมต์คำสั่งด้วยสิทธิ์ของผู้ดูแลระบบ

นี่เป็นช่องโหว่ความปลอดภัยขนาดใหญ่ทำให้ระบบปฏิบัติการเสี่ยงต่อใครก็ตามที่มีความรู้ด้านไอทีน้อยที่สุด เกือบจะทำให้คุณต้องการเปลี่ยนเป็น Mac หรือ Linux จะป้องกันได้อย่างไร?

เพื่อป้องกันผู้โจมตีจากการบูทจากดิสก์ซ่อมแซมและการใช้เพื่อเข้าถึงระบบของคุณมีหลายขั้นตอนที่คุณควรทำ ตามลำดับความสำคัญ:

• ใช้การตั้งค่า BIOS / UEFI ของคุณเพื่อป้องกันการบูทจากสื่อที่ถอดออกได้หรือต้องการรหัสผ่านเพื่อบู๊ตจากสื่อภายนอก ขั้นตอนนี้จะแตกต่างกันไปในแต่ละเมนบอร์ด
• ล็อคหอคอยของคุณ โดยปกติจะมีวิธีรีเซ็ตการตั้งค่า BIOS / UEFI (รวมถึงรหัสผ่าน) หากผู้โจมตีเข้าสู่แผงวงจรหลักได้ดังนั้นคุณจะต้องป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ คุณไปได้ไกลแค่ไหนขึ้นอยู่กับปัจจัยต่าง ๆ เช่นความสำคัญของข้อมูลที่คุณปกป้องวิธีการโจมตีของคุณความปลอดภัยทางกายภาพที่นำไปสู่เวิร์กสเตชันของคุณ (เช่นอยู่ในสำนักงานที่เพื่อนร่วมงานเท่านั้นที่สามารถเข้าถึงหรือ อยู่ในพื้นที่แยกที่เปิดให้สาธารณะ) และเวลาเท่าไรที่ผู้โจมตีทั่วไปจะต้องทำลายความปลอดภัยทางกายภาพของคุณโดยไม่เห็น
• ใช้การเข้ารหัสดิสก์บางประเภทเช่น BitLocker หรือ TrueCrypt แม้ว่าสิ่งนี้จะไม่หยุดยั้งผู้โจมตีโดยเฉพาะจากการจัดรูปแบบระบบของคุณหากพวกเขาสามารถเข้าถึงทางกายภาพและรีเซ็ตรหัสผ่าน BIOS ของคุณได้ แต่จะหยุดไม่ให้ใครก็ตามที่เข้าถึงระบบของคุณได้ (สมมติว่าคุณป้องกันคีย์ของคุณได้ดี การเข้าถึงแบ็คดอร์ใด ๆ )

ปัญหาที่นี่คือการเข้าถึงตัวเครื่อง ปิดการใช้งานความสามารถในการบูตจาก CD / USB และล็อค BIOS ด้วยรหัสผ่าน อย่างไรก็ตามการทำเช่นนี้จะไม่ป้องกันบุคคลที่มีเวลาพอเพียงอย่างเดียวกับเครื่องไม่ให้เจาะเข้าไปด้วยวิธีการต่าง ๆ มากมาย

SETHC.exe ยังสามารถแทนที่ด้วยสำเนา explorer.exe (หรือ. exe อื่น ๆ ) ที่ให้การเข้าถึงระดับระบบเต็มรูปแบบจากหน้าจอเข้าสู่ระบบเช่นกัน ไม่ต้องทำซ้ำผู้อื่น แต่ถ้าคุณกำลังพูดถึงความปลอดภัยของเซิร์ฟเวอร์ฉันจะคิดว่ามีการรักษาความปลอดภัยทางกายภาพจำนวนหนึ่งอยู่แล้ว ขึ้นอยู่กับความเสี่ยงที่ยอมรับได้ซึ่งระบุโดยองค์กรของคุณ

ฉันโพสต์สิ่งนี้เพื่อไปเส้นทางอื่น หากคุณกังวลว่าชุมชนผู้ใช้ในองค์กรของคุณสามารถหรือจะทำสิ่งนี้กับเวิร์กสเตชัน Windows 7 (ดังที่คุณอธิบายไว้ในคำถาม) วิธีเดียวที่จะหลีกเลี่ยงการโจมตีประเภทนี้คือ "ย้าย" การคำนวณลงในดาต้าเซ็นเตอร์ สามารถทำได้ด้วยเทคโนโลยีจำนวนเท่าใดก็ได้ ฉันจะเลือกผลิตภัณฑ์ Citrix เพื่อให้เห็นภาพรวมของกระบวนการโดยย่อแม้ว่าผู้ขายรายอื่นจะมีข้อเสนอที่คล้ายกัน การใช้ XenApp, XenDesktop, Machine Creation Services หรือ Provisioning Services คุณสามารถ "ย้าย" เวิร์กสเตชันไปยังดาต้าเซ็นเตอร์ได้ ณ จุดนี้ (ตราบใดที่ศูนย์ข้อมูลของคุณปลอดภัย) คุณจะมีความปลอดภัยทางกายภาพเหนือเวิร์กสเตชัน คุณสามารถใช้ไคลเอ็นต์แบบ thin หรือเวิร์กสเตชันที่มีคุณสมบัติครบถ้วนเพื่อเข้าถึงเดสก์ท็อปที่โฮสต์จากดาต้าเซ็นเตอร์ ในสถานการณ์ใด ๆ เหล่านี้คุณจะต้องใช้การไฮเปอร์เวิร์คในการทำงาน แนวคิดคือสถานะความปลอดภัยของเครื่องฟิสิคัลที่ผู้ใช้เปิดอยู่นั้นมีความเสี่ยงขั้นต่ำโดยไม่คำนึงว่าจะถูกบุกรุกหรือไม่ โดยทั่วไปเวิร์กสเตชั่นทางกายภาพมีการเข้าถึงทรัพยากรที่ จำกัด จำนวนมากเท่านั้น (AD, DHCP, DNS และอื่น ๆ ) กับสถานการณ์นี้ข้อมูลทั้งหมดและการเข้าถึงทั้งหมดจะได้รับเฉพาะกับทรัพยากรเสมือนจริงใน DC และแม้ว่าเวิร์กสเตชันหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลกำไรจากจุดปลายทางนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป แนวคิดคือสถานะความปลอดภัยของเครื่องฟิสิคัลที่ผู้ใช้เปิดอยู่นั้นมีความเสี่ยงขั้นต่ำโดยไม่คำนึงว่าจะถูกบุกรุกหรือไม่ โดยทั่วไปเวิร์กสเตชั่นทางกายภาพมีการเข้าถึงทรัพยากรที่ จำกัด จำนวนมากเท่านั้น (AD, DHCP, DNS และอื่น ๆ ) กับสถานการณ์นี้ข้อมูลทั้งหมดและการเข้าถึงทั้งหมดจะได้รับเฉพาะกับทรัพยากรเสมือนจริงใน DC และแม้ว่าเวิร์กสเตชันหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลกำไรจากจุดปลายทางนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป แนวคิดคือสถานะความปลอดภัยของเครื่องฟิสิคัลที่ผู้ใช้เปิดอยู่นั้นมีความเสี่ยงขั้นต่ำโดยไม่คำนึงว่าจะถูกบุกรุกหรือไม่ โดยทั่วไปเวิร์กสเตชั่นทางกายภาพมีการเข้าถึงทรัพยากรที่ จำกัด จำนวนมากเท่านั้น (AD, DHCP, DNS และอื่น ๆ ) กับสถานการณ์นี้ข้อมูลทั้งหมดและการเข้าถึงทั้งหมดจะได้รับเฉพาะกับทรัพยากรเสมือนจริงใน DC และแม้ว่าเวิร์กสเตชันหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลกำไรจากจุดปลายทางนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป และแม้ว่าเวิร์คสเตชั่นหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลประโยชน์จากจุดปลายนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป และแม้ว่าเวิร์คสเตชั่นหรือไคลเอ็นต์แบบบางจะไม่สามารถรับผลกำไรจากจุดปลายนั้นได้ การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป

เพียงปิดใช้งานการแจ้งเตือนการทำงานเมื่อคุณกด Shift 5 ครั้ง จากนั้นเมื่อเปลี่ยนชื่อ CMD เป็น SETHC แล้วจะไม่ปรากฏขึ้น แก้ไข

Win7:

1. เริ่ม> พิมพ์ "เปลี่ยนการทำงานของแป้นพิมพ์"
2. คลิกตัวเลือกแรก
3. คลิกตั้งค่าคีย์ปักหมุด
4. ยกเลิกการทำเครื่องหมายเปิดกุญแจเหนียวเมื่อกดปุ่ม Shift 5 ครั้ง

คุณไม่จำเป็นต้องมีแผ่นดิสก์ Windows หรือรูปภาพบน USB อย่างใดอย่างหนึ่งเพื่อใช้ประโยชน์จากการทำงาน ฉันพยายามที่จะบอกว่าการปิดใช้งานพีซีไม่ให้เริ่มจากไดรฟ์อื่นนอกเหนือจากไดรฟ์ระบบภายในจะไม่ป้องกันการหาประโยชน์จากการทำงาน วิธีแก้ปัญหานี้ทำได้โดยการรีเซ็ตคอมพิวเตอร์เมื่อเริ่มต้นและใช้การซ่อมแซมการเริ่มต้นเพื่อเข้าถึงระบบไฟล์เพื่อเปลี่ยนชื่อ CMD เป็น SETHC แน่นอนว่ามันเป็นเรื่องยากในดิสก์ไดรฟ์ แต่ถ้าคุณเจาะเข้าไปในเครื่องของคนอื่นคุณไม่สนใจจริงๆ