sethc.exe ハッキングを防ぐにはどうすればいいですか?

tag-icon tag-icon windows-7 windows security system-repair-disc
sethc.exe ハッキングを防ぐにはどうすればいいですか?

Windows で管理者パスワードをリセットできるエクスプロイトがあります。修復ディスクから起動し、コマンド プロンプトを起動して、C:\Windows\System32\sethc.exe を C:\Windows\System32\cmd.exe に置き換えることで実行されます。

ログオン画面で固定キーの組み合わせを押すと、ユーザーは管理者権限でコマンド プロンプトにアクセスできるようになります。

これは大きなセキュリティホールであり、IT の知識が少しでもある人なら誰でも OS を危険にさらすことになります。Mac や Linux に切り替えたくなるかもしれません。どうすればこれを防ぐことができますか?

答え1

攻撃者が修復ディスクから起動し、それを使用してシステムにアクセスするのを防ぐには、いくつかの手順を実行する必要があります。重要度順に並べると次のようになります。

  • BIOS/UEFI 設定を使用して、リムーバブル メディアからの起動を禁止するか、外部メディアからの起動にパスワードを要求します。この手順はマザーボードによって異なります。
  • タワーをロックします。攻撃者がマザーボードに物理的にアクセスした場合、通常は BIOS/UEFI 設定 (パスワードを含む) をリセットする方法があるため、これを防止する必要があります。どこまで行うかは、保護するデータの重要性、攻撃者の熱意、ワークステーションまでの物理的なセキュリティの種類 (同僚のみがアクセスできるオフィス内にあるか、一般に公開されている隔離されたエリアにあるかなど)、および一般的な攻撃者が見られずに物理的なセキュリティを破るのにどのくらいの時間がかかるかなどの要因によって異なります。
  • BitLocker や TrueCrypt などのディスク暗号化を使用します。攻撃者が物理的にアクセスして BIOS パスワードをリセットした場合、これによってシステムを再フォーマットするのを阻止することはできませんが、ほぼすべてのユーザーがシステムにアクセスできなくなります (キーをしっかりと保護し、攻撃者がバックドアにアクセスできないことを前提とします)。

答え2

ここで問題となるのは、マシンへの物理的なアクセスです。CD/USB からの起動を無効にし、BIOS をパスワードでロックします。ただし、これだけでは、マシンに十分な時間をかけられる人物がさまざまな方法で侵入するのを防ぐことはできません。

答え3

SETHC.exe は、explorer.exe (または他の .exe) のコピーに置き換えて、ログオン画面から完全なシステム レベルのアクセスも可能にすることもできます。他の人の言うことを繰り返すつもりはありませんが、サーバーのセキュリティについて話しているのであれば、ある程度の物理的なセキュリティはすでに導入されていると思います。どの程度かは、組織が概説する許容可能なリスクによって異なります。

これを投稿するのは、おそらく別の方向に進むためです。質問で説明されているように、組織内のユーザー コミュニティが Windows 7 ワークステーションに対してこのようなことを行う可能性がある、または行うと懸念している場合、この種の攻撃を回避する唯一の方法は、コンピューティングをデータセンターに「移動」することです。これは、さまざまなテクノロジを使用して実現できます。他の多くのベンダーも同様のサービスを提供していますが、ここでは Citrix 製品を使用してプロセスの概要を簡単に説明します。XenApp、XenDesktop、Machine Creation Services、または Provisioning Services のいずれかを使用して、ワークステーションをデータセンターに「移動」できます。この時点で (データセンターが安全である限り)、ワークステーションに対して物理的なセキュリティが確保されます。シン クライアントを使用するか、完全に機能するワークステーションを使用して、データセンターからホストされているデスクトップにアクセスできます。これらのシナリオのいずれの場合も、ハイパーバイザーを主力として必要とします。つまり、ユーザーが使用している物理マシンのセキュリティ状態は、侵害されているかどうかに関係なく、リスクが極めて小さいということです。基本的に、物理ワークステーションは、非常に限られた数のリソース (AD、DHCP、DNS など) にしかアクセスできません。このシナリオでは、すべてのデータとすべてのアクセスは DC 内の仮想リソースにのみ許可され、ワー​​クステーションまたはシン クライアントが侵害された場合でも、そのエンドポイントから利益を得ることはできません。このタイプの設定は、大企業やセキュリティの高い環境向けです。考えられる回答として、これを提案しておこうと思いました。

答え4

Shift キーを 5 回押したときに実行される固定キー プロンプトを無効にするだけです。その後、CMD の名前が SETHC に変更されても、ポップアップは表示されなくなります。解決しました。

Win7の場合:

  1. スタート > 「キーボードの動作を変更する」と入力
  2. 最初のオプションをクリック
  3. 固定キーの設定をクリック
  4. Shift キーを 5 回押すと固定キーをオンにするのチェックを外します。

エクスプロイトを実行するために、Windows ディスクや USB イメージも必要ありません。つまり、PC を内部システム ドライブ以外のドライブから起動できないようにしても、エクスプロイトの実行は阻止できないということです。この回避策は、起動時にコンピューターをリセットし、スタートアップ修復を使用してファイル システムにアクセスし、CMD を SETHC に名前変更することで実行されます。確かに、ディスク ドライブには負担がかかりますが、他人のマシンに侵入するのであれば、それほど気にする必要はありません。

関連情報