Es gibt einen Exploit, mit dem Benutzer das Administratorkennwort unter Windows zurücksetzen können. Dies geschieht, indem Sie von einer Reparaturdiskette booten, die Eingabeaufforderung starten und C:\Windows\System32\sethc.exe durch C:\Windows\System32\cmd.exe ersetzen.
Wenn auf dem Anmeldebildschirm die Sticky-Tastenkombination gedrückt wird, erhalten Benutzer Zugriff auf eine Eingabeaufforderung mit Administratorrechten.
Dies ist eine riesige Sicherheitslücke, die das Betriebssystem für jeden mit auch nur den geringsten IT-Kenntnissen angreifbar macht. Man möchte fast auf Mac oder Linux umsteigen. Wie kann man das verhindern?
Antwort1
Um zu verhindern, dass ein Angreifer von einer Reparaturdiskette bootet und sich damit Zugriff auf Ihr System verschafft, sollten Sie mehrere Schritte unternehmen. In der Reihenfolge ihrer Wichtigkeit:
- Verwenden Sie Ihre BIOS/UEFI-Einstellungen, um das Booten von Wechseldatenträgern zu verhindern oder ein Kennwort zum Booten von externen Datenträgern anzufordern. Die Vorgehensweise hierfür ist von Motherboard zu Motherboard unterschiedlich.
- Sperren Sie Ihren Tower. Normalerweise gibt es eine Möglichkeit, BIOS/UEFI-Einstellungen (einschließlich Passwörter) zurückzusetzen, wenn ein Angreifer physischen Zugriff auf das Motherboard erhält. Dies sollten Sie also verhindern. Wie weit Sie gehen, hängt von Faktoren ab, wie der Wichtigkeit der zu schützenden Daten, der Entschlossenheit Ihrer Angreifer, der Art der physischen Sicherheit vor Ihrem Arbeitsplatz (z. B. befindet er sich in einem Büro, auf das nur Kollegen Zugriff haben, oder ist er ein isolierter, öffentlich zugänglicher Bereich) und wie viel Zeit ein typischer Angreifer hat, um Ihre physische Sicherheit zu durchbrechen, ohne gesehen zu werden.
- Verwenden Sie eine Art Festplattenverschlüsselung wie BitLocker oder TrueCrypt. Dies wird einen gezielten Angreifer zwar nicht davon abhalten, Ihr System neu zu formatieren, wenn er physischen Zugriff erhält und Ihr BIOS-Passwort zurücksetzt, aber es wird fast jeden davon abhalten, auf Ihr System zuzugreifen (vorausgesetzt, Sie schützen Ihre Schlüssel gut und Ihr Angreifer hat keinen Zugriff auf Hintertüren).
Antwort2
Das Problem ist hier der physische Zugriff auf die Maschine. Deaktivieren Sie die Möglichkeit, von CD/USB zu booten und sperren Sie das BIOS mit einem Passwort. Dies wird jedoch nicht verhindern, dass jemand, der genügend Zeit allein mit der Maschine verbringt, mit zahlreichen verschiedenen Methoden in sie eindringt.
Antwort3
SETHC.exe kann auch durch eine Kopie von explorer.exe (oder einer beliebigen anderen .exe) ersetzt werden, die auch vom Anmeldebildschirm aus vollen Zugriff auf Systemebene bietet. Ich will mich nicht wiederholen, aber wenn es um Serversicherheit geht, würde ich annehmen, dass bereits ein gewisses Maß an physischer Sicherheit vorhanden ist. Wie viel, hängt von dem von Ihrer Organisation festgelegten akzeptablen Risiko ab.
Ich poste dies, um vielleicht einen anderen Weg einzuschlagen. Wenn Sie befürchten, dass die Benutzergemeinschaft in Ihrer Organisation dies mit den Windows 7-Arbeitsstationen tun kann oder wird (wie Sie in der Frage beschrieben haben), besteht die einzige Möglichkeit, diese Art von Angriffen zu umgehen, darin, den Computer in das Rechenzentrum zu „verschieben“. Dies kann mit einer Reihe von Technologien erreicht werden. Ich werde Citrix-Produkte auswählen, um den Prozess kurz zu überblicken, obwohl viele andere Anbieter ähnliche Angebote haben. Mit XenApp, XenDesktop, Machine Creation Services oder Provisioning Services können Sie die Arbeitsstation in das Rechenzentrum „verschieben“. An diesem Punkt (solange Ihr Rechenzentrum sicher ist) haben Sie physische Sicherheit für die Arbeitsstation. Sie können entweder Thin Clients oder voll funktionsfähige Arbeitsstationen verwenden, um auf den vom Rechenzentrum gehosteten Desktop zuzugreifen. In jedem dieser Szenarien benötigen Sie einen Hypervisor als Arbeitspferd. Die Idee ist, dass der Sicherheitszustand der physischen Maschine, an der sich der Benutzer befindet, ein minimales Risiko darstellt, unabhängig davon, ob sie kompromittiert ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur den virtuellen Ressourcen im DC gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert wird, kann von diesem Endpunkt aus kein Nutzen erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde dies als mögliche Antwort in den Raum werfen.
Antwort4
Deaktivieren Sie einfach die Eingabeaufforderung für die Feststelltaste, wenn Sie fünfmal die Umschalttaste drücken. Wenn CMD dann in SETHC umbenannt wird, wird es nicht angezeigt. Gelöst.
Win7:
- Start > geben Sie „Ändern Sie die Funktionsweise Ihrer Tastatur“ ein
- Klicken Sie auf die erste Option
- Klicken Sie auf „Sticker-Keys einrichten“
- Deaktivieren Sie die Option „Sticker-Tasten aktivieren, wenn die Umschalttaste fünfmal gedrückt wird“.
Sie brauchen wirklich keine Windows-CD oder ein Image auf einem USB-Stick, damit der Exploit funktioniert. Ich möchte damit sagen, dass das Deaktivieren des PCs, damit er nicht von einem anderen Laufwerk als dem internen Systemlaufwerk gestartet werden kann, die Ausführung des Exploits nicht verhindert. Diese Problemumgehung wird erreicht, indem der Computer beim Hochfahren zurückgesetzt wird und eine Startreparatur verwendet wird, um Zugriff auf das Dateisystem zu erhalten und CMD in SETHC umzubenennen. Sicher, das ist hart für das Laufwerk, aber wenn Sie in den Computer einer anderen Person eindringen, ist Ihnen das eigentlich egal.