Существует эксплойт, позволяющий пользователям сбросить пароль администратора в Windows. Это делается путем загрузки с диска восстановления, запуска командной строки и замены C:\Windows\System32\sethc.exe на C:\Windows\System32\cmd.exe.
При нажатии залипающей комбинации клавиш на экране входа в систему пользователи получают доступ к командной строке с правами администратора.
Это огромная дыра в безопасности, делает ОС уязвимой для любого, кто хоть немного разбирается в ИТ. Это почти заставляет вас переключиться на Mac или Linux. Как это предотвратить?
решение1
Чтобы не дать злоумышленнику загрузиться с диска восстановления и использовать его для получения доступа к вашей системе, вам следует предпринять несколько шагов. В порядке важности:
- Используйте настройки BIOS/UEFI, чтобы запретить загрузку со съемных носителей или требовать пароль для загрузки с внешнего носителя. Процедура для этого различается в зависимости от материнской платы.
- Заприте свой корпус. Обычно есть способ сбросить настройки BIOS/UEFI (включая пароли), если злоумышленник получит физический доступ к материнской плате, поэтому вам следует предотвратить это. Насколько далеко вы зайдете, зависит от таких факторов, как важность защищаемых вами данных, насколько преданны делу ваши злоумышленники, тип физической безопасности, ведущей к вашей рабочей станции (например, находится ли она в офисе, куда могут получить доступ только коллеги, или она находится в изолированном месте, открытом для публики), и сколько времени у типичного злоумышленника будет, чтобы взломать вашу физическую безопасность, оставаясь незамеченным.
- Используйте какое-либо шифрование диска, например BitLocker или TrueCrypt. Хотя это не остановит злоумышленника от переформатирования вашей системы, если он получит физический доступ и сбросит ваш пароль BIOS, это остановит практически любого, кто получит доступ к вашей системе (при условии, что вы хорошо охраняете свои ключи, и у злоумышленника нет доступа к каким-либо бэкдорам).
решение2
Проблема здесь в физическом доступе к машине. Отключите возможность загрузки с CD/USB и заблокируйте BIOS паролем. Однако это не помешает кому-то, кто провел достаточно времени наедине с машиной, взломать ее множеством различных методов.
решение3
SETHC.exe также можно заменить копией explorer.exe (или любым другим .exe), что также дает полный доступ на системном уровне с экрана входа в систему. Не хочу повторять других, но если вы говорите о безопасности сервера, я бы подумал, что определенный уровень физической безопасности уже присутствует. Насколько, зависит от приемлемого риска, обозначенного вашей организацией.
Я публикую это, возможно, чтобы пойти другим путем. Если вы обеспокоены тем, что сообщество пользователей в вашей организации может или будет делать это с рабочими станциями Windows 7 (как вы описали в вопросе), единственный способ обойти эти типы атак — «переместить» вычисления в центр обработки данных. Это можно сделать с помощью любого количества технологий. Я выберу продукты Citrix, чтобы кратко описать процесс, хотя многие другие поставщики предлагают похожие предложения. Используя XenApp, XenDesktop, Machine Creation Services или Provisioning Services, вы можете «переместить» рабочую станцию в центр обработки данных. На этом этапе (при условии, что ваш центр обработки данных защищен) у вас есть физическая защита рабочей станции. Вы можете использовать либо тонкие клиенты, либо полностью работоспособные рабочие станции для доступа к рабочему столу, размещенному в центре обработки данных. В любом из этих сценариев вам понадобится некий hypvervisor в качестве рабочей лошадки. Идея заключается в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой незначительный риск независимо от того, скомпрометирована она или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному числу ресурсов (AD, DHCP, DNS и т. д.). При таком сценарии все данные и весь доступ предоставляются только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, никакой выгоды от этой конечной точки получить нельзя. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто подумал, что стоит выкинуть это как возможный ответ.
решение4
Просто отключите подсказку залипания клавиш, когда вы нажимаете shift 5 раз. Тогда, когда CMD переименовывается в SETHC, она не будет появляться. Решено.
Win7:
- Пуск > введите «изменить работу клавиатуры»
- Нажмите на первый вариант.
- Нажмите «Настроить залипание клавиш».
- Снимите флажок «Включить залипание клавиш при нажатии клавиши Shift 5 раз».
Вам действительно не нужно иметь диск Windows или образ на USB, чтобы эксплойт сработал. Я пытаюсь сказать, что отключение ПК от запуска с другого диска, кроме внутреннего системного диска, не помешает выполнению эксплойта. Этот обходной путь выполняется путем сброса компьютера при его запуске и использования восстановления запуска для получения доступа к файловой системе, чтобы переименовать CMD в SETHC. Конечно, это тяжело для диска, но если вы взламываете чужую машину, вам все равно.