วิธีการป้องกันการแฮ็ค sethc.exe


19

มีช่องโหว่ที่อนุญาตให้ผู้ใช้รีเซ็ตรหัสผ่านของผู้ดูแลระบบบน Windows ทำได้โดยการบูตจากดิสก์ซ่อมแซมเริ่มต้นพรอมต์คำสั่งและแทนที่ C: \ Windows \ System32 \ sethc.exe ด้วย C: \ Windows \ System32 \ cmd.exe

เมื่อมีการกดปุ่มร่วมกันที่หน้าจอเข้าสู่ระบบผู้ใช้จะสามารถเข้าถึงพรอมต์คำสั่งด้วยสิทธิ์ของผู้ดูแลระบบ

นี่เป็นช่องโหว่ความปลอดภัยขนาดใหญ่ทำให้ระบบปฏิบัติการเสี่ยงต่อใครก็ตามที่มีความรู้ด้านไอทีน้อยที่สุด เกือบจะทำให้คุณต้องการเปลี่ยนเป็น Mac หรือ Linux จะป้องกันได้อย่างไร?


3
ฉันไม่เข้าใจว่ามันเกี่ยวกับอะไร ไม่ใช่ว่าไม่มีสาธารณูปโภคที่สามารถรีเซ็ตรหัสผ่านของผู้ดูแลระบบ (เช่นรหัส BCD หรือ Win7Live ของ Hiren) ถ้าโจมตีสามารถเปลี่ยนไฟล์ sethc แล้วเขาสามารถใช้ยูทิลิตี้การตั้งค่าบางอย่าง ...
EliadTech

27
หากใครบางคนสามารถเข้าถึงคอมพิวเตอร์ของคุณได้คุณสามารถจูบลาความปลอดภัยได้
Bert

2
มันเกือบจะทำให้คุณต้องการเปลี่ยนไปใช้ linux ซึ่งถ้าคุณบูตดิสก์ซ่อมแซมคุณก็สามารถเปลี่ยนรหัสผ่านของผู้ดูแลระบบโดยไม่ต้องแฮ็คทั้งหมด ...
pqnet

คำตอบ:


16

เพื่อป้องกันผู้โจมตีจากการบูทจากดิสก์ซ่อมแซมและการใช้เพื่อเข้าถึงระบบของคุณมีหลายขั้นตอนที่คุณควรทำ ตามลำดับความสำคัญ:

  • ใช้การตั้งค่า BIOS / UEFI ของคุณเพื่อป้องกันการบูทจากสื่อที่ถอดออกได้หรือต้องการรหัสผ่านเพื่อบู๊ตจากสื่อภายนอก ขั้นตอนนี้จะแตกต่างกันไปในแต่ละเมนบอร์ด
  • ล็อคหอคอยของคุณ โดยปกติจะมีวิธีรีเซ็ตการตั้งค่า BIOS / UEFI (รวมถึงรหัสผ่าน) หากผู้โจมตีเข้าสู่แผงวงจรหลักได้ดังนั้นคุณจะต้องป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ คุณไปได้ไกลแค่ไหนขึ้นอยู่กับปัจจัยต่าง ๆ เช่นความสำคัญของข้อมูลที่คุณปกป้องวิธีการโจมตีของคุณความปลอดภัยทางกายภาพที่นำไปสู่เวิร์กสเตชันของคุณ (เช่นอยู่ในสำนักงานที่เพื่อนร่วมงานเท่านั้นที่สามารถเข้าถึงหรือ อยู่ในพื้นที่แยกที่เปิดให้สาธารณะ) และเวลาเท่าไรที่ผู้โจมตีทั่วไปจะต้องทำลายความปลอดภัยทางกายภาพของคุณโดยไม่เห็น
  • ใช้การเข้ารหัสดิสก์บางประเภทเช่น BitLocker หรือ TrueCrypt แม้ว่าสิ่งนี้จะไม่หยุดยั้งผู้โจมตีโดยเฉพาะจากการจัดรูปแบบระบบของคุณหากพวกเขาสามารถเข้าถึงทางกายภาพและรีเซ็ตรหัสผ่าน BIOS ของคุณได้ แต่จะหยุดไม่ให้ใครก็ตามที่เข้าถึงระบบของคุณได้ (สมมติว่าคุณป้องกันคีย์ของคุณได้ดี การเข้าถึงแบ็คดอร์ใด ๆ )

8

ปัญหาที่นี่คือการเข้าถึงตัวเครื่อง ปิดการใช้งานความสามารถในการบูตจาก CD / USB และล็อค BIOS ด้วยรหัสผ่าน อย่างไรก็ตามการทำเช่นนี้จะไม่ป้องกันบุคคลที่มีเวลาพอเพียงอย่างเดียวกับเครื่องไม่ให้เจาะเข้าไปด้วยวิธีการต่าง ๆ มากมาย


2
+1 หนึ่งในหลาย ๆ ... คุณขับรถไปตามเสารั้วผู้บุกรุกเดินไปรอบ ๆ
Fiasco Labs

หากคุณมีการเข้าถึงทางกายภาพมักจะสามารถรีเซ็ตการตั้งค่า BIOS / UEFI เป็นค่าเริ่มต้นจากโรงงาน
Scolytus

5

SETHC.exe ยังสามารถแทนที่ด้วยสำเนา explorer.exe (หรือ. exe อื่น ๆ ) ที่ให้การเข้าถึงระดับระบบเต็มรูปแบบจากหน้าจอเข้าสู่ระบบเช่นกัน ไม่ต้องทำซ้ำผู้อื่น แต่ถ้าคุณกำลังพูดถึงความปลอดภัยของเซิร์ฟเวอร์ฉันจะคิดว่ามีการรักษาความปลอดภัยทางกายภาพจำนวนหนึ่งอยู่แล้ว ขึ้นอยู่กับความเสี่ยงที่ยอมรับได้ซึ่งระบุโดยองค์กรของคุณ

ฉันโพสต์สิ่งนี้เพื่อไปเส้นทางอื่น หากคุณกังวลว่าชุมชนผู้ใช้ในองค์กรของคุณสามารถหรือจะทำสิ่งนี้กับเวิร์กสเตชัน Windows 7 (ดังที่คุณอธิบายไว้ในคำถาม) วิธีเดียวที่จะหลีกเลี่ยงการโจมตีประเภทนี้คือ "ย้าย" การคำนวณลงในดาต้าเซ็นเตอร์ สามารถทำได้ด้วยเทคโนโลยีจำนวนเท่าใดก็ได้ ฉันจะเลือกผลิตภัณฑ์ Citrix เพื่อให้เห็นภาพรวมของกระบวนการโดยย่อแม้ว่าผู้ขายรายอื่นจะมีข้อเสนอที่คล้ายกัน การใช้ XenApp, XenDesktop, Machine Creation Services หรือ Provisioning Services คุณสามารถ "ย้าย" เวิร์กสเตชันไปยังดาต้าเซ็นเตอร์ได้ ณ จุดนี้ (ตราบใดที่ศูนย์ข้อมูลของคุณปลอดภัย) คุณจะมีความปลอดภัยทางกายภาพเหนือเวิร์กสเตชัน คุณสามารถใช้ไคลเอ็นต์แบบ thin หรือเวิร์กสเตชันที่มีคุณสมบัติครบถ้วนเพื่อเข้าถึงเดสก์ท็อปที่โฮสต์จากดาต้าเซ็นเตอร์ ในสถานการณ์ใด ๆ เหล่านี้คุณจะต้องใช้การไฮเปอร์เวิร์คในการทำงาน แนวคิดคือสถานะความปลอดภัยของเครื่องฟิสิคัลที่ผู้ใช้เปิดอยู่นั้นมีความเสี่ยงขั้นต่ำโดยไม่คำนึงว่าจะถูกบุกรุกหรือไม่ โดยทั่วไปเวิร์กสเตชั่นทางกายภาพมีการเข้าถึงทรัพยากรที่ จำกัด จำนวนมากเท่านั้น (AD, DHCP, DNS และอื่น ๆ ) กับสถานการณ์นี้ข้อมูลทั้งหมดและการเข้าถึงทั้งหมดจะได้รับเฉพาะกับทรัพยากรเสมือนจริงใน DC และแม้ว่าเวิร์กสเตชันหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลกำไรจากจุดปลายทางนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป แนวคิดคือสถานะความปลอดภัยของเครื่องฟิสิคัลที่ผู้ใช้เปิดอยู่นั้นมีความเสี่ยงขั้นต่ำโดยไม่คำนึงว่าจะถูกบุกรุกหรือไม่ โดยทั่วไปเวิร์กสเตชั่นทางกายภาพมีการเข้าถึงทรัพยากรที่ จำกัด จำนวนมากเท่านั้น (AD, DHCP, DNS และอื่น ๆ ) กับสถานการณ์นี้ข้อมูลทั้งหมดและการเข้าถึงทั้งหมดจะได้รับเฉพาะกับทรัพยากรเสมือนจริงใน DC และแม้ว่าเวิร์กสเตชันหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลกำไรจากจุดปลายทางนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป แนวคิดคือสถานะความปลอดภัยของเครื่องฟิสิคัลที่ผู้ใช้เปิดอยู่นั้นมีความเสี่ยงขั้นต่ำโดยไม่คำนึงว่าจะถูกบุกรุกหรือไม่ โดยทั่วไปเวิร์กสเตชั่นทางกายภาพมีการเข้าถึงทรัพยากรที่ จำกัด จำนวนมากเท่านั้น (AD, DHCP, DNS และอื่น ๆ ) กับสถานการณ์นี้ข้อมูลทั้งหมดและการเข้าถึงทั้งหมดจะได้รับเฉพาะกับทรัพยากรเสมือนจริงใน DC และแม้ว่าเวิร์กสเตชันหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลกำไรจากจุดปลายทางนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป และแม้ว่าเวิร์คสเตชั่นหรือไคลเอ็นต์แบบบางจะไม่ได้รับผลประโยชน์จากจุดปลายนั้น การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป และแม้ว่าเวิร์คสเตชั่นหรือไคลเอ็นต์แบบบางจะไม่สามารถรับผลกำไรจากจุดปลายนั้นได้ การตั้งค่าประเภทนี้เหมาะสำหรับองค์กรขนาดใหญ่หรือสภาพแวดล้อมความปลอดภัยสูง แค่คิดว่าฉันจะโยนคำตอบนี้ออกไป


ฉันตั้งค่าสภาพแวดล้อมเช่นนั้นและเมาจนเกินไป 2 ปัญหาที่ฉันไม่สามารถแก้ไขได้: ผู้ใช้ถอดรหัสรหัสผ่านผู้ดูแลท้องถิ่นบนไคลเอ็นต์แบบ thin และเนื่องจาก TC อยู่ภายใต้ Active Directory บนเซิร์ฟเวอร์ผู้ดูแลระบบภายในจะแชร์โฟลเดอร์และแมปใน VM ของเขาและถ่ายโอนออก ปัญหาที่สอง: ผู้ใช้ใช้เครื่องบันทึกหน้าจอเพื่อนำข้อมูลออกมาในขณะที่เริ่ม RDP
AkshayImmanuelD

เหตุใดโฟลเดอร์ต่าง ๆ ที่แชร์โดยผู้ดูแลท้องถิ่น (ไม่ใช่ผู้ดูแลเซิร์ฟเวอร์) บนเครื่อง xp / win 7 ในโดเมนเซิร์ฟเวอร์สามารถแชร์โฟลเดอร์ที่สามารถแมปบน VM บนเซิร์ฟเวอร์ใน Hyper-V
AkshayImmanuelD

3

เพียงปิดใช้งานการแจ้งเตือนการทำงานเมื่อคุณกด Shift 5 ครั้ง จากนั้นเมื่อเปลี่ยนชื่อ CMD เป็น SETHC แล้วจะไม่ปรากฏขึ้น แก้ไข

Win7:

  1. เริ่ม> พิมพ์ "เปลี่ยนการทำงานของแป้นพิมพ์"
  2. คลิกตัวเลือกแรก
  3. คลิกตั้งค่าคีย์ปักหมุด
  4. ยกเลิกการทำเครื่องหมายเปิดกุญแจเหนียวเมื่อกดปุ่ม Shift 5 ครั้ง

คุณไม่จำเป็นต้องมีแผ่นดิสก์ Windows หรือรูปภาพบน USB อย่างใดอย่างหนึ่งเพื่อใช้ประโยชน์จากการทำงาน ฉันพยายามที่จะบอกว่าการปิดใช้งานพีซีไม่ให้เริ่มจากไดรฟ์อื่นนอกเหนือจากไดรฟ์ระบบภายในจะไม่ป้องกันการหาประโยชน์จากการทำงาน วิธีแก้ปัญหานี้ทำได้โดยการรีเซ็ตคอมพิวเตอร์เมื่อเริ่มต้นและใช้การซ่อมแซมการเริ่มต้นเพื่อเข้าถึงระบบไฟล์เพื่อเปลี่ยนชื่อ CMD เป็น SETHC แน่นอนว่ามันเป็นเรื่องยากในดิสก์ไดรฟ์ แต่ถ้าคุณเจาะเข้าไปในเครื่องของคนอื่นคุณไม่สนใจจริงๆ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.