Sethc.exe kesmek nasıl önlenir?

Kullanıcıların Windows'ta Yönetici şifresini sıfırlamalarına izin veren bir istismar var. Bir onarım diskinden önyükleme yaparak, komut istemini başlatarak ve C: \ Windows \ System32 \ sethc.exe dosyasını C: \ Windows \ System32 \ cmd.exe ile değiştirerek yapılır.

Oturum açma ekranında yapışkan tuş bileşimine basıldığında, kullanıcılar Yönetici ayrıcalıklarına sahip bir komut istemine erişebilir.

Bu büyük bir güvenlik açığıdır, işletim sistemini en ufak BT bilgisine sahip herkese karşı savunmasız hale getirir. Neredeyse Mac veya Linux'a geçmek istemenizi sağlar. Nasıl önlenebilir?

Bir saldırganın onarım diskinden önyükleme yapmasını ve bunu sisteminize erişmek için kullanmasını önlemek için atmanız gereken birkaç adım vardır. Önem sırasına göre:

• Çıkarılabilir ortamdan önyüklemeyi önlemek için BIOS / UEFI ayarlarınızı kullanın veya harici ortamdan önyükleme yapmak için bir parola isteyin. Bunun prosedürü anakarttan anakarta değişir.
• Kuleni kilitle. Bir saldırgan anakarta fiziksel erişirse, genellikle BIOS / UEFI ayarlarını (şifreler dahil) sıfırlamanın bir yolu vardır, bu nedenle bunu önlemek istersiniz. Ne kadar ileri gideceğiniz, koruduğunuz verilerin önemi, saldırganlarınızın ne kadar adanmış olduğu, iş istasyonunuza giden fiziksel güvenlik türü gibi faktörlere bağlıdır (örneğin, yalnızca iş arkadaşlarınızın erişebileceği bir ofiste mi yoksa halka açık bir alanda) ve tipik bir saldırganın fiziksel güvenliğinizi görülmeden kırmak için ne kadar zamana ihtiyacı olacaktır).
• BitLocker veya TrueCrypt gibi bir çeşit disk şifrelemesi kullanın. Bu, özel bir saldırganın fiziksel erişim elde edebilmesi ve BIOS şifrenizi sıfırlaması durumunda sisteminizi yeniden biçimlendirmesini engellemese de, neredeyse herkesin sisteminize erişmesini durduracaktır (anahtarlarınızı iyi koruduğunuzu ve saldırganınızın sahip olmadığını varsayarak) herhangi bir arka kapıya erişim).

Buradaki sorun, makineye fiziksel erişimdir. CD / USB'den önyükleme özelliğini devre dışı bırakın ve BIOS'u bir parola ile kilitleyin. Bununla birlikte, bu, makine ile tek başına yeterli zamanı olan birinin çok sayıda farklı yöntemle içine girmesini engellemez.

SETHC.exe, oturum açma ekranından da tam sistem düzeyinde erişim sağlayan explorer.exe (veya başka bir .exe) kopyasıyla değiştirilebilir. Başkalarını tekrarlamak için değil, ancak sunucu güvenliğinden bahsediyorsanız, belirli bir miktar fiziksel güvenliğin zaten mevcut olduğunu düşünürüm. Ne kadar, kuruluşunuz tarafından belirtilen kabul edilebilir riske bağlıdır.

Bunu belki de farklı bir rotaya gitmek için gönderiyorum. Kuruluşunuzdaki kullanıcı topluluğunun bunu (soruda açıklandığı gibi) Windows 7 iş istasyonlarına yapabileceğinden veya yapacaklarından endişe ediyorsanız, bu tür saldırıları atlatmanın tek yolu, hesaplamayı veri merkezine "taşımak" tır. Bu, herhangi bir sayıda teknoloji ile gerçekleştirilebilir. Diğer birçok satıcı benzer teklifler sunsa da, süreci kısaca gözden geçirmek için Citrix ürünlerini seçeceğim. XenApp, XenDesktop, Makine Oluşturma Hizmetleri veya Temel Hazırlık Hizmetleri'ni kullanarak iş istasyonunu veri merkezine "taşıyabilirsiniz". Bu noktada (veri merkeziniz güvenli olduğu sürece) iş istasyonu üzerinde fiziksel güvenliğiniz olur. Veri merkezinden barındırılan masaüstüne erişmek için ince istemciler veya tam donanımlı iş istasyonları kullanabilirsiniz. Bu senaryoların herhangi birinde, işgücü olarak bir hiper danışmana ihtiyacınız olacaktır. Fikir, kullanıcının üzerinde bulunduğu fiziksel makinenin güvenlik durumunun, tehlikeye girip girmediğine bakılmaksızın küçük risk altında olmasıdır. Temel olarak, fiziksel iş istasyonları yalnızca çok sınırlı sayıda kaynağa (AD, DHCP, DNS, vb.) Erişebilir. Bu senaryoda, tüm veriler ve tüm erişim yalnızca DC'deki sanal kaynaklara verilir ve iş istasyonu veya ince istemcinin güvenliği ihlal edilmiş olsa bile, bu son noktadan kazanç elde edilemez. Bu tür kurulum büyük işletmeler veya yüksek güvenlikli ortamlar için daha fazladır. Bunu olası bir cevap olarak atacağımı düşündüm. Fikir, kullanıcının üzerinde bulunduğu fiziksel makinenin güvenlik durumunun, tehlikeye girip girmediğine bakılmaksızın küçük risk altında olmasıdır. Temel olarak, fiziksel iş istasyonları yalnızca çok sınırlı sayıda kaynağa (AD, DHCP, DNS, vb.) Erişebilir. Bu senaryoda, tüm veriler ve tüm erişim yalnızca DC'deki sanal kaynaklara verilir ve iş istasyonu veya ince istemcinin güvenliği ihlal edilmiş olsa bile, bu son noktadan kazanç elde edilemez. Bu tür kurulum büyük işletmeler veya yüksek güvenlikli ortamlar için daha fazladır. Bunu olası bir cevap olarak atacağımı düşündüm. Fikir, kullanıcının üzerinde bulunduğu fiziksel makinenin güvenlik durumunun, tehlikeye girip girmediğine bakılmaksızın küçük risk altında olmasıdır. Temel olarak, fiziksel iş istasyonları yalnızca çok sınırlı sayıda kaynağa (AD, DHCP, DNS, vb.) Erişebilir. Bu senaryoda, tüm veriler ve tüm erişim yalnızca DC'deki sanal kaynaklara verilir ve iş istasyonu veya ince istemcinin güvenliği ihlal edilmiş olsa bile, bu son noktadan kazanç elde edilemez. Bu tür kurulum büyük işletmeler veya yüksek güvenlikli ortamlar için daha fazladır. Bunu olası bir cevap olarak atacağımı düşündüm. ve iş istasyonu veya ince istemci tehlikeye düşse bile, bu son noktadan kazanç elde edilemez. Bu tür kurulum büyük işletmeler veya yüksek güvenlikli ortamlar için daha fazladır. Bunu olası bir cevap olarak atacağımı düşündüm. ve iş istasyonu veya ince istemci tehlikeye düşse bile, bu son noktadan kazanç elde edilemez. Bu tür kurulum büyük işletmeler veya yüksek güvenlikli ortamlar için daha fazladır. Bunu olası bir cevap olarak atacağımı düşündüm.

Üst karakter tuşuna 5 kez bastığınızda yapışkan tuş isteminin çalışmasını devre dışı bırakmanız yeterlidir. Sonra CMD SETHC olarak yeniden adlandırıldığında açılmaz. Çözüldü.

Win7:

1. Başlat> "klavyenizin çalışma şeklini değiştir" yazın
2. İlk seçeneği tıklayın
3. Yapışkan tuşları ayarla'yı tıklayın
4. Shift tuşuna 5 kez basıldığında yapışkan tuşları aç seçeneğinin işaretini kaldırın.

İstismarın çalışmasını sağlamak için bir USB üzerinde gerçekten bir Windows diskine veya görüntüsüne sahip olmanız gerekmez. PC'nin dahili sistem sürücüsünden farklı bir sürücüden başlatılmasını devre dışı bırakmanın istismarın gerçekleştirilmesini engellemeyeceğini söylemeye çalışıyorum. Bu geçici çözüm, bilgisayarı başlatırken sıfırlayarak ve CMD'yi SETHC olarak yeniden adlandırmak üzere dosya sistemine erişmek için bir başlangıç ​​onarımı kullanarak yapılır. Tabii, disk sürücüsünde zor, ama başka birinin makinesine giriyorsanız, gerçekten umursamazsınız.