web-dev-qa-db-ja.com

sethc.exeハッキングを防ぐには?

ユーザーがWindowsで管理者パスワードをリセットできるようにするエクスプロイトがあります。これは、リペアディスクから起動し、コマンドプロンプトを起動して、C:\ Windows\System32\sethc.exeをC:\ Windows\System32\cmd.exeに置き換えることで行われます。

ログオン画面でスティッキーキーの組み合わせを押すと、ユーザーは管理者権限でコマンドプロンプトにアクセスできます。

これは巨大なセキュリティホールであり、わずかなIT知識さえあれば、OSが脆弱になります。ほとんどMacまたはLinuxに切り替えたくなるでしょう。どうすれば防ぐことができますか?

windows-7windowssecuritysystem-repair-disc
19
Jesus Pedro

攻撃者がリペアディスクから起動し、それを使用してシステムにアクセスするのを防ぐには、いくつかの手順を実行する必要があります。重要度の高い順に:

  • BIOS/UEFI設定を使用して、リムーバブルメディアからの起動を防止するか、外部メディアから起動するためにパスワードを要求します。この手順はマザーボードによって異なります。
  • タワーをロックしてください。攻撃者がマザーボードに物理的にアクセスした場合、通常はBIOS/UEFI設定(パスワードを含む)をリセットする方法があるため、これを防ぐ必要があります。どこまで進むかは、保護しているデータの重要性、攻撃者の専門性、ワークステーションに至る物理的なセキュリティの種類などの要因に依存します(たとえば、同僚だけがアクセスできるオフィスにあるか、それは一般に公開された隔離された領域にあります)、そして典型的な攻撃者が見られずにあなたの物理的なセキュリティを破るのにどれだけの時間を要しますか。
  • BitLockerやTrueCryptなどの何らかのディスク暗号化を使用します。これは、物理的なアクセスを取得してBIOSパスワードをリセットできる場合でも、専用の攻撃者がシステムを再フォーマットすることを妨げるものではありませんが、ほとんどの人がシステムにアクセスすることを阻止します(キーを適切に保護し、攻撃者が持っていない場合)バックドアへのアクセス)。
16
eToThePiIPower

ここでの問題は、マシンへの物理的なアクセスです。 CD/USBから起動してBIOSをパスワードでロックする機能を無効にします。ただし、これは、マシンを使用して一人で十分な時間のある人が多数の異なる方法でそれに侵入することを妨げるものではありません。

8
Michael Frank

SETHC.exeは、Explorer.exe(またはその他の.exe)のコピーで置き換えることもでき、ログオン画面からもシステムレベルで完全にアクセスできます。他の人を繰り返すのではなく、サーバーのセキュリティについて話している場合は、ある程度の物理的なセキュリティが既に整っていると思います。どの程度かは、組織で概説されている許容可能なリスクによって異なります。

おそらく別のルートに行くためにこれを投稿しています。組織のユーザーコミュニティが(質問で説明したように)Windows 7ワークステーションに対してこれを実行できる、または実行するのではないかと心配している場合、これらの種類の攻撃を回避する唯一の方法は、コンピューティングをデータセンターに「移動」することです。これは、いくつものテクノロジで実現できます。他の多くのベンダーが同様の製品を提供していますが、プロセスを簡単に概説するためにCitrix製品を選びます。 XenApp、XenDesktop、Machine Creation Services、またはProvisioning Servicesのいずれかを使用して、ワークステーションをデータセンターに「移動」できます。この時点で(データセンターが安全である限り)、ワークステーションの物理的なセキュリティが確保されています。シンクライアントまたは完全に機能するワークステーションを使用して、データセンターからホストされているデスクトップにアクセスできます。これらのシナリオのいずれかでは、主力としていくつかのhypvervisorが必要になります。ユーザーが使用している物理マシンのセキュリティ状態は、セキュリティが侵害されているかどうかに関係なく、非常に小さなリスクであるという考え方です。基本的に、物理ワークステーションは非常に限られた数のリソース(AD、DHCP、DNSなど)にしかアクセスできません。このシナリオでは、すべてのデータとすべてのアクセスがDC内の仮想リソースにのみ許可され、ワー​​クステーションまたはシンクライアントが危険にさらされている場合でも、そのエンドポイントから利益を得ることができません。このタイプのセットアップは、大企業や高セキュリティ環境に適しています。私はこれを可能な答えとして捨てるだろうと思っていました。

5
MiTePython

Shiftキーを5回押すと、スティッキーキープロンプトの実行を無効にするだけです。その後、CMDの名前がSETHCに変更されても、ポップアップしません。解決しました。

Win7:

  1. スタート>「キーボードの動作を変更する」と入力します
  2. 最初のオプションをクリックします
  3. スティッキーキーの設定をクリックします
  4. シフトが5回押されたときにスティッキーキーをオンにします。

エクスプロイトを機能させるために、WindowsディスクやUSB上のイメージを用意する必要はありません。内部システムドライブとは異なるドライブからPCを起動できないようにしても、エクスプロイトの実行が妨げられるわけではないと言いたいのですが。この回避策は、コンピューターの起動時にコンピューターをリセットし、スタートアップ修復を使用してファイルシステムにアクセスし、CMDの名前をSETHCに変更することによって行われます。確かに、それはディスクドライブでは難しいですが、他の誰かのマシンに侵入する場合は、本当に気にしないでください。

3
user322263