如何防止sethc.exe被黑客入侵?

19

有一个利用程序可以使用户在Windows上重置管理员密码。这是通过从修复磁盘启动,启动命令提示符并将C:\ Windows \ System32 \ sethc.exe替换为C:\ Windows \ System32 \ cmd.exe来完成的。

在登录屏幕上按下粘滞键组合时,用户可以访问具有管理员权限的命令提示符。

这是一个巨大的安全漏洞,使该操作系统容易受任何具有最低IT知识的人的攻击。它几乎使您想要切换到Mac或Linux。如何预防?

windows-7  windows  security  system-repair-disc 
耶稣佩德罗
source
3
我真的不知道这有什么毛病。并不是说那里没有实用程序可以重置管理员密码(例如Hiren的BCD或Win7Live上的密码)。如果攻击者可以更改sethc文件,那么他可以使用一些重置实用程序...
EliadTech 2014年
27
如果有人可以物理访问您的计算机,则可以告别安全。
伯特2014年
2
它几乎使您想要切换到linux,如果您启动修复盘,则只需更改管理员密码即可,而无需所有黑客攻击...
pqnet

Answers:

16

为了防止攻击者从修复盘引导并使用它来获得对系统的访问权,应采取几个步骤。按重要性顺序:

  • 使用您的BIOS / UEFI设置可以防止从可移动媒体引导,或者需要密码才能从外部媒体引导。此过程因主板而异。
  • 锁好塔。如果攻击者获得了对主板的物理访问权,通常可以使用一种方法来重置BIOS / UEFI设置(包括密码),因此您需要防止这种情况。您走多远取决于一些因素,例如您保护的数据的重要性,攻击者的专注程度,通往工作站的物理安全性(例如,在办公室中只有同事才能访问或是在一个向公众开放的隔离区域),以及典型的攻击者将需要多少时间才能破坏您的人身安全,而不会被发现。
  • 使用某种磁盘加密,例如BitLocker或TrueCrypt。虽然这不会阻止专门的攻击者重新获得系统的格式,只要他们可以进行物理访问并重置BIOS密码,它就会阻止几乎任何人获得对系统的访问权限(假设您很好地保护了密钥并且攻击者没有访问任何后门)。
上电
source
8

这里的问题是对机器的物理访问。禁用从CD / USB引导并使用密码锁定BIOS的功能。但是,这不会阻止有足够时间独自陪伴机器的人使用多种不同方法闯入机器。

迈克尔·弗兰克
source
2
+1众多中的一个...您驾驶了篱笆,攻击者在篱笆周围走来走去。
Fiasco Labs 2014年
如果您具有物理访问权限,通常可以将BIOS / UEFI设置重置为出厂默认设置。
Scolytus '16
5

SETHC.exe也可以替换为explorer.exe(或任何其他.exe)的副本,并从登录屏幕提供完整的系统级访问。不再赘述,但是如果您在谈论服务器安全性,那么我认为一定数量的物理安全性已经到位。多少,取决于组织概述的可接受风险。

我将其发布为可能会走不同的路线。如果您担心组织中的用户社区可以或将要对Windows 7工作站执行此操作(如您在问题中所描述的那样),那么规避这些类型的攻击的唯一方法是将计算“移动”到数据中心。这可以通过多种技术来实现。我将选择Citrix产品来简要概述该过程,尽管许多其他供应商也提供类似的产品。使用XenApp,XenDesktop,机器创建服务或Provisioning Services,您可以将工作站“移动”到数据中心。此时(只要您的数据中心是安全的),您就可以通过工作站实现物理安全性。您可以使用瘦客户端或功能强大的工作站来访问从数据中心托管的桌面。在任何这些情况下,您都需要一些hypervervisor作为主力。这个想法是,用户所在的物理机的安全状态具有微不足道的风险,无论它是否受到威胁。基本上,物理工作站只能访问数量非常有限的资源(AD,DHCP,DNS等)。在这种情况下,所有数据和所有访问权限仅授予DC中的虚拟资源,即使工作站或瘦客户端受到损害,也无法从该端点获得任何收益。这种类型的设置更适合大型企业或高安全性环境。只是以为我会把这个作为可能的答案。这个想法是,用户所在的物理机的安全状态具有很小的风险,无论它是否受到威胁。基本上,物理工作站只能访问数量非常有限的资源(AD,DHCP,DNS等)。在这种情况下,所有数据和所有访问权限仅授予DC中的虚拟资源,即使工作站或瘦客户端受到损害,也无法从该端点获得任何收益。这种类型的设置更适合大型企业或高安全性环境。只是以为我会把这个作为可能的答案。这个想法是,用户所在的物理机的安全状态具有很小的风险,无论它是否受到威胁。基本上,物理工作站只能访问数量非常有限的资源(AD,DHCP,DNS等)。在这种情况下,所有数据和所有访问权限仅授予DC中的虚拟资源,即使工作站或瘦客户端受到损害,也无法从该端点获得任何收益。这种类型的设置更适合大型企业或高安全性环境。只是以为我会把这个作为可能的答案。即使工作站或瘦客户机受损,也无法从该端点获得收益。这种类型的设置更适合大型企业或高安全性环境。只是以为我会把这个作为可能的答案。即使工作站或瘦客户机受损,也无法从该端点获得收益。这种类型的设置更适合大型企业或高安全性环境。只是以为我会把这个作为可能的答案。

MiTePython
source
我就是在这样的环境下设置的,搞砸了。我无法解决的2个问题:用户在瘦客户端上破解了本地管理员密码,并且由于TC位于服务器上的Active Directory下,因此本地管理员共享一个文件夹并将其映射到他的VM中并将其传输出去。第二个问题:用户在启动RDP时使用简单的屏幕录像机取出数据。
AkshayImmanuelD
为什么服务器域中的xp / win 7计算机上的本地管理员(而非服务器管理员)共享的文件夹能够共享可以在Hyper-V中的服务器上的VM上映射的文件夹
AkshayImmanuelD
3

只需在按住shift 5次时禁用粘滞键提示即可运行。然后,当CMD重命名为SETHC时,它不会弹出。解决了。

Win7:

  1. 开始>键入“更改键盘的工作方式”
  2. 点击第一个选项
  3. 点击设置粘滞键
  4. 按住Shift键5次后,取消选中打开粘滞键。

要真正利用漏洞,您确实不需要在USB上安装Windows光盘或映像。我要说的是,禁止从与内部系统驱动器不同的驱动器启动PC不会阻止执行漏洞利用。通过在启动计算机时将其重置并使用启动修复程序来访问文件系统以将CMD重命名为SETHC,可以完成此变通方法。当然,这在磁盘驱动器上很难,但是如果您要闯入别人的机器,那么您根本不在乎。

用户名
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.