Es gibt einen Exploit, mit dem Benutzer das Administratorkennwort unter Windows zurücksetzen können. Dazu wird von einer Reparaturdiskette gebootet, die Eingabeaufforderung gestartet und C: \ Windows \ System32 \ sethc.exe durch C: \ Windows \ System32 \ cmd.exe ersetzt.
Wenn die Festnetztastenkombination auf dem Anmeldebildschirm gedrückt wird, erhalten Benutzer Zugriff auf eine Eingabeaufforderung mit Administratorrechten.
Dies ist eine riesige Sicherheitslücke, die das Betriebssystem für jeden anfällig macht, der auch nur das geringste IT-Wissen besitzt. Es macht fast Lust auf einen Wechsel zu Mac oder Linux. Wie kann das verhindert werden?
windows-7
windows
security
system-repair-disc
Jesus Pedro
quelle
quelle
Antworten:
Um zu verhindern, dass ein Angreifer von einer Reparaturdiskette bootet und damit Zugriff auf Ihr System erhält, sollten Sie verschiedene Schritte ausführen. Geordnet nach Wichtigkeit:
quelle
Hier geht es um den physischen Zugriff auf die Maschine. Deaktivieren Sie die Möglichkeit, von CD / USB zu starten und das BIOS mit einem Kennwort zu sperren. Dies wird jedoch nicht verhindern, dass jemand mit genügend Zeit alleine mit der Maschine mit zahlreichen verschiedenen Methoden in die Maschine eindringt.
quelle
SETHC.exe kann auch durch eine Kopie von explorer.exe (oder einer anderen EXE-Datei) ersetzt werden, die über den Anmeldebildschirm den vollständigen Zugriff auf Systemebene ermöglicht. Um andere nicht zu wiederholen, aber wenn Sie über Serversicherheit sprechen, würde ich denken, dass ein gewisses Maß an physischer Sicherheit bereits vorhanden ist. Wie viel, hängt vom akzeptablen Risiko Ihrer Organisation ab.
Ich poste dies, um vielleicht einen anderen Weg zu gehen. Wenn Sie befürchten, dass die Benutzergemeinschaft in Ihrem Unternehmen dies auf den Windows 7-Arbeitsstationen durchführen kann oder wird (wie in der Frage beschrieben), besteht die einzige Möglichkeit, diese Arten von Angriffen zu umgehen, darin, den Computer in das Rechenzentrum zu verschieben. Dies kann mit einer beliebigen Anzahl von Technologien erreicht werden. Ich werde Citrix-Produkte auswählen, um einen kurzen Überblick über den Vorgang zu erhalten, obwohl viele andere Anbieter ähnliche Angebote anbieten. Mit XenApp, XenDesktop, Machine Creation Services oder Provisioning Services können Sie die Arbeitsstation in das Datencenter "verschieben". Zu diesem Zeitpunkt (solange Ihr Rechenzentrum sicher ist) haben Sie physische Sicherheit über die Workstation. Sie können entweder Thin Clients oder voll funktionsfähige Workstations verwenden, um auf den vom Rechenzentrum aus gehosteten Desktop zuzugreifen. In jedem dieser Szenarien benötigen Sie einen Hypvervisor als Arbeitspferd. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im Domänencontroller gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert sind, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im Domänencontroller gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert sind, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. Die Idee ist, dass der Sicherheitsstatus der physischen Maschine, auf der sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob eine Gefährdung vorliegt oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im Domänencontroller gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert sind, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. und selbst wenn die Workstation oder der Thin Client kompromittiert ist, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. und selbst wenn die Workstation oder der Thin Client kompromittiert ist, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen.
quelle
Deaktivieren Sie einfach die Eingabeaufforderung "Sticky Keys", wenn Sie die Umschalttaste fünfmal drücken. Wenn CMD dann in SETHC umbenannt wird, wird es nicht angezeigt. Gelöst
Win7:
Sie müssen weder eine Windows-CD noch ein Windows-Image auf einem USB-Stick haben, damit der Exploit funktioniert. Ich versuche zu sagen, dass das Deaktivieren des PCs von einem anderen Laufwerk als dem internen Systemlaufwerk die Ausführung des Exploits nicht verhindert. Diese Problemumgehung wird durchgeführt, indem der Computer beim Start zurückgesetzt und eine Startreparatur ausgeführt wird, um auf das Dateisystem zuzugreifen und CMD in SETHC umzubenennen. Sicher, es ist hart auf der Festplatte, aber wenn Sie in die Maschine eines anderen einbrechen, ist es Ihnen egal.
quelle