Wie die sethc zu verhindern.exe hack?

Um zu verhindern, dass ein Angreifer von einer Reparaturdiskette startet und damit Zugriff auf Ihr System erhält, sollten Sie mehrere Schritte ausführen. In der Reihenfolge der Wichtigkeit:

• Verwenden Sie Ihre BIOS / UEFI-Einstellungen, um das Booten von Wechselmedien zu verhindern, oder benötigen Sie ein Kennwort, um von externen Medien zu booten. Das Verfahren hierfür variiert von Motherboard zu Motherboard.
• Sperrt euren Turm ein. Es gibt normalerweise eine Möglichkeit, BIOS/UEFI-Einstellungen (einschließlich Kennwörter) zurückzusetzen, wenn ein der Angreifer erhält physischen Zugriff auf das Motherboard, sodass Sie dies verhindern möchten. Wie weit Sie gehen, hängt von Faktoren wie der Wichtigkeit der Daten ab, die Sie schützen, wie engagiert Ihre Angreifer sind, welche Art von physischer Sicherheit zu Ihrer Workstation führt (z. B. in einem Büro, auf das nur Mitarbeiter zugreifen können oder in einem isolierten Bereich für die Öffentlichkeit zugänglich) und wie viel Zeit ein typischer Angreifer hat, um Ihre physische Sicherheit zu brechen, ohne gesehen zu werden.
• Verwenden Sie eine Art von Festplattenverschlüsselung wie BitLocker oder TrueCrypt. Dies hindert einen dedizierten Angreifer zwar nicht daran, Ihr System neu zu formatieren, wenn er physischen Zugriff erhält und Ihr BIOS-Passwort zurücksetzt, verhindert jedoch, dass fast jeder Zugriff auf Ihr System erhält (vorausgesetzt, Sie schützen Ihre Schlüssel gut und Ihr Angreifer hat keinen Zugriff auf Hintertüren).

Das Problem hier ist der physische Zugriff auf die Maschine. Deaktivieren Sie die Möglichkeit, von CD/USB zu booten, und sperren Sie das BIOS mit einem Kennwort. Dies verhindert jedoch nicht, dass jemand, der genug Zeit alleine mit der Maschine hat, mit zahlreichen verschiedenen Methoden in diese einbricht.

SETHC.exe kann auch durch eine Kopie des Explorers ersetzt werden.exe (oder jede andere .exe) geben vollen Zugriff auf Systemebene aus dem Anmeldebildschirm als auch. Um andere nicht zu wiederholen, aber wenn Sie über Serversicherheit sprechen, würde ich denken, dass bereits ein gewisses Maß an physischer Sicherheit vorhanden ist. Wie viel, hängt von akzeptablen Risiko von Ihrer Organisation skizziert.

Ich poste dies, um vielleicht einen anderen Weg zu gehen. Wenn Sie Bedenken haben, dass die Benutzergemeinschaft in Ihrer Organisation oder tun Sie dies auf den Windows 7-Workstations (wie Sie in der Frage beschrieben haben) Die einzige Möglichkeit, diese Art von Angriffen zu umgehen, besteht darin, die Berechnung in das Rechenzentrum zu "verschieben". Dies kann mit einer beliebigen Anzahl von Technologien erreicht werden. Ich werde Citrix-Produkte auswählen, um den Prozess kurz zu überblicken, obwohl viele andere Anbieter ähnliche Angebote anbieten. Mit XenApp, XenDesktop, Machine Creation Services oder Provisioning Services können Sie die Workstation in das Rechenzentrum "verschieben". An diesem punkt (solange Ihr Rechenzentrum sicher ist) haben Sie physische Sicherheit über die Workstation. Sie können entweder Thin Clients oder voll funktionsfähige Workstations verwenden, um über das Rechenzentrum auf den gehosteten Desktop zuzugreifen. In jedem dieser Szenarien benötigen Sie einen Hypervisor als Arbeitspferd. Die Idee ist, dass der Sicherheitszustand der physischen Maschine, auf der sich der Benutzer befindet, ein winziges Risiko darstellt, unabhängig davon, ob er kompromittiert ist oder nicht. Grundsätzlich haben die physischen Workstations nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im DC gewährt, und selbst wenn die Workstation oder der Thin Client kompromittiert ist, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung eignet sich eher für große Unternehmen oder Hochsicherheitsumgebungen. Ich dachte nur, ich würde das als mögliche Antwort wegwerfen.

Deaktivieren Sie einfach die Sticky Keys-Eingabeaufforderung, wenn Sie Shift 5 Mal drücken. Wenn CMD dann in SETHC umbenannt wird, wird es nicht angezeigt. Gel.

Win7:

1. Start > Geben Sie "Ändern Sie, wie Ihre Tastatur funktioniert"
2. Klicken Sie auf die erste option
3. Klicken Sie auf Sticky Keys einrichten
4. Deaktivieren Sie das Kontrollkästchen Klebrige Tasten einschalten, wenn die Umschalttaste 5 Mal gedrückt wird.

Sie brauchen wirklich keine Windows-Disc oder ein Image auf einem USB-Stick, damit der Exploit funktioniert. Ich versuche zu sagen das Deaktivieren des PCS vom Starten von einem anderen Laufwerk als dem internen Systemlaufwerk verhindert nicht, dass der Exploit ausgeführt wird. Diese Problemumgehung erfolgt durch Zurücksetzen des Computers beim Starten und Verwenden einer Startreparatur, um Zugriff auf das Dateisystem zum Umbenennen von CMD in SETHC zu erhalten. Sicher, es ist hart auf dem Laufwerk, aber wenn Sie in die Maschine eines anderen einbrechen, ist es Ihnen egal.