Wie kann man den sethc.exe-Hack verhindern?

68527
Jesus Pedro

Es gibt einen Exploit, mit dem Benutzer das Administratorkennwort unter Windows zurücksetzen können. Dazu wird von einer Reparaturdiskette gebootet, die Eingabeaufforderung gestartet und C: \ Windows \ System32 \ sethc.exe durch C: \ Windows \ System32 \ cmd.exe ersetzt.

Wenn die Tastenkombination im Anmeldebildschirm gedrückt wird, erhalten Benutzer Zugriff auf eine Eingabeaufforderung mit Administratorrechten.

Dies ist eine große Sicherheitslücke und macht das Betriebssystem für jeden mit dem geringsten IT-Wissen anfällig. Es macht fast den Wunsch, auf Mac oder Linux zu wechseln. Wie kann man das verhindern?

15
Ich verstehe wirklich nicht, worauf es ankommt. Es ist nicht so, dass es keine Dienstprogramme gibt, die Administratorkennwörter zurücksetzen können (wie die von Hirens BCD oder Win7Live). Wenn der Angreifer die Sethc-Datei ändern kann, kann er ein Reset-Dienstprogramm verwenden ... EliadTech vor 10 Jahren 3
Wenn jemand physischen Zugriff auf Ihren Computer hat, können Sie sich von der Sicherheit verabschieden. Bert vor 9 Jahren 25
Es scheint fast, dass Sie auf Linux umsteigen möchten. Wenn Sie eine Reparaturdiskette booten, können Sie einfach das Administratorkennwort ändern, ohne dass Sie alle Hacks benötigen. pqnet vor 6 Jahren 2

4 Antworten auf die Frage

15
eToThePiIPower

Um zu verhindern, dass ein Angreifer von einer Reparaturdiskette bootet und diese für den Zugriff auf Ihr System verwendet, sollten Sie mehrere Schritte ausführen. Der Wichtigkeit nach geordnet:

  • Verwenden Sie Ihre BIOS- / UEFI-Einstellungen, um das Starten von Wechseldatenträgern zu verhindern, oder benötigen Sie ein Kennwort, um von externen Datenträgern zu starten. Die Vorgehensweise dafür variiert von Motherboard zu Motherboard.
  • Schließ deinen Turm ab. Normalerweise gibt es eine Möglichkeit, die BIOS- / UEFI-Einstellungen (einschließlich Kennwörter) zurückzusetzen, wenn ein Angreifer physischen Zugriff auf das Motherboard erhält. Daher möchten Sie dies verhindern. Wie weit Sie gehen, hängt von Faktoren wie der Wichtigkeit der zu schützenden Daten, der Einsatzbereitschaft Ihrer Angreifer und der Art der physischen Sicherheit ab, die zu Ihrer Workstation führt (z. B. in einem Büro, auf das nur Mitarbeiter zugreifen können oder nicht) ist es in einem isolierten Bereich, der für die Öffentlichkeit zugänglich ist) und wie viel Zeit ein typischer Angreifer haben muss, um Ihre physische Sicherheit zu brechen, ohne gesehen zu werden.
  • Verwenden Sie eine Art Festplattenverschlüsselung wie BitLocker oder TrueCrypt. Ein Angreifer wird zwar nicht daran gehindert, sein System neu zu formatieren, wenn er physischen Zugriff hat und das BIOS-Kennwort zurücksetzt. Dadurch kann jedoch nahezu jeder Zugriff auf Ihr System erhalten (vorausgesetzt, Sie schützen Ihre Schlüssel gut und Ihr Angreifer nicht.) Zugriff auf alle Hintertüren).
7
Michael Frank

Das Problem hierbei ist der physische Zugriff auf die Maschine. Deaktivieren Sie die Möglichkeit, von CD / USB zu booten, und sperren Sie das BIOS mit einem Kennwort. Dies wird jedoch nicht verhindern, dass jemand mit genügend Zeit allein mit der Maschine mit zahlreichen verschiedenen Methoden in die Maschine eindringt.

+1 Einer von vielen ... Sie haben einen Zaunpfosten gefahren, der Angreifer geht um ihn herum. Fiasco Labs vor 10 Jahren 2
Wenn Sie über physischen Zugriff verfügen, können Sie normalerweise die BIOS / UEFI-Einstellungen auf die Werkseinstellungen zurücksetzen. Scolytus vor 7 Jahren 0
4
MiTePython

SETHC.exe kann auch durch eine Kopie von explorer.exe (oder einer anderen .exe-Datei) ersetzt werden, die den vollständigen Zugriff auf Systemebene auch vom Anmeldebildschirm aus ermöglicht. Um andere nicht zu wiederholen, aber wenn Sie über Serversicherheit sprechen, würde ich denken, dass eine gewisse physische Sicherheit bereits vorhanden ist. Wie viel davon abhängt, ist ein akzeptables Risiko, das von Ihrer Organisation festgelegt wurde.

Ich poste dies, um vielleicht einen anderen Weg zu gehen. Wenn Sie befürchten, dass die Benutzergemeinschaft in Ihrer Organisation dies auf den Windows 7-Arbeitsstationen tun kann oder tun wird (wie Sie in der Frage beschrieben haben), können Sie diese Arten von Angriffen nur dadurch umgehen, dass Sie die Datenverarbeitung in das Datencenter verschieben. Dies kann mit einer beliebigen Anzahl von Technologien erreicht werden. Ich wähle Citrix-Produkte aus, um den Prozess kurz zu überblicken, obwohl viele andere Anbieter ähnliche Angebote anbieten. Mit XenApp, XenDesktop, Machine Creation Services oder Provisioning Services können Sie die Workstation in das Datencenter "verschieben". An diesem Punkt (sofern Ihr Datencenter sicher ist) haben Sie physische Sicherheit über die Workstation. Sie können entweder Thin Clients oder voll funktionsfähige Arbeitsstationen verwenden, um auf den vom Rechenzentrum aus gehosteten Desktop zuzugreifen. In jedem dieser Szenarien benötigen Sie einen Hypvervisor als Arbeitstier. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). Bei diesem Szenario werden alle Daten und der gesamte Zugriff nur den virtuellen Ressourcen im DC gewährt. Selbst wenn die Workstation oder der Thin Client gefährdet ist, kann von diesem Endpunkt aus kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Umgebungen mit hoher Sicherheit gedacht. Ich dachte nur, ich würde das als mögliche Antwort wegwerfen. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). Bei diesem Szenario werden alle Daten und der gesamte Zugriff nur den virtuellen Ressourcen im DC gewährt. Selbst wenn die Workstation oder der Thin Client gefährdet ist, kann von diesem Endpunkt aus kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Umgebungen mit hoher Sicherheit gedacht. Ich dachte nur, ich würde das als mögliche Antwort wegwerfen. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). Bei diesem Szenario werden alle Daten und der gesamte Zugriff nur den virtuellen Ressourcen im DC gewährt. Selbst wenn die Workstation oder der Thin Client gefährdet ist, kann von diesem Endpunkt aus kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Umgebungen mit hoher Sicherheit gedacht. Ich dachte nur, ich würde das als mögliche Antwort wegwerfen. Selbst wenn die Workstation oder der Thin Client gefährdet ist, kann von diesem Endpunkt aus kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Umgebungen mit hoher Sicherheit gedacht. Ich dachte nur, ich würde das als mögliche Antwort wegwerfen. Selbst wenn die Workstation oder der Thin Client gefährdet ist, kann von diesem Endpunkt aus kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Umgebungen mit hoher Sicherheit gedacht. Ich dachte nur, ich würde das als mögliche Antwort wegwerfen.

Ich habe gerade eine solche Umgebung eingerichtet und wurde vermasselt. 2 Probleme, die ich nicht lösen konnte: Der Benutzer knackt das lokale Administratorkennwort auf dem Thin Client. Da sich der TC auf dem Server unter Active Directory befindet, gibt der lokale Administrator einen Ordner frei, ordnet ihn in seiner VM zu und überträgt ihn. Zweites Problem: Der Benutzer verwendet einen einfachen Bildschirmschreiber, um die Daten während der Einleitung eines RDP herauszunehmen. Akshay Immanuel D vor 7 Jahren 0
Warum können Ordner, die von einem lokalen Administrator (nicht Server-Administrator) auf einem xp / win 7-Computer in einer Serverdomäne freigegeben werden, Ordner freigeben, die auf einer VM auf dem Server in Hyper-V zugeordnet werden können Akshay Immanuel D vor 7 Jahren 0
3
user322263

Deaktivieren Sie einfach die Eingabeaufforderung der Sticky Keys, wenn Sie die Umschalttaste fünfmal drücken. Wenn CMD in SETHC umbenannt wird, wird es nicht angezeigt. Gelöst

Win7:

  1. Start> Typ "Ändern, wie Ihre Tastatur funktioniert"
  2. Klicken Sie auf die erste Option
  3. Klicken Sie auf Einrichten von Kurzschlüsseln
  4. Deaktivieren Sie das Aktivieren der Kurzwahltasten, wenn die Schicht fünfmal gedrückt wird.

Sie müssen auch keine Windows-Disc oder ein Image auf einem USB-Stick haben, damit der Exploit funktioniert. Ich versuche zu sagen, dass die Ausführung des Exploits nicht verhindert wird, wenn der PC nicht von einem anderen als dem internen Systemlaufwerk gestartet wird. Diese Problemumgehung wird durch Zurücksetzen des Computers beim Start und Verwendung einer Startreparatur für den Zugriff auf das Dateisystem zum Umbenennen von CMD in SETHC ausgeführt. Sicher, es ist schwer auf dem Festplattenlaufwerk, aber wenn Sie in den Computer eines anderen einbrechen, ist es Ihnen egal.

Verwandte Probleme