有一個漏洞允許用戶在 Windows 上重設管理員密碼。這是透過從修復磁碟啟動、啟動命令提示字元並將 C:\Windows\System32\sethc.exe 替換為 C:\Windows\System32\cmd.exe 來完成的。
在登入畫面上按下黏滯組合鍵時,使用者可以使用管理員權限存取命令提示字元。
這是一個巨大的安全漏洞,任何具有 IT 知識的人都容易受到該作業系統的攻擊。它幾乎讓你想要切換到 Mac 或 Linux。如何預防?
答案1
為了防止攻擊者從修復磁碟啟動並使用它來存取您的系統,您應該採取幾個步驟。依重要性排序:
- 使用 BIOS/UEFI 設定阻止從可移動媒體啟動,或需要密碼才能從外部媒體啟動。此過程因主機板而異。
- 鎖上你的塔。如果攻擊者獲得對主機板的實體存取權限,通常有一種方法可以重置 BIOS/UEFI 設定(包括密碼),因此您需要防止這種情況發生。您能走多遠取決於多種因素,例如您所保護的資料的重要性、攻擊者的專注程度、通往您工作站的實體安全類型(例如,它是否位於只有同事可以訪問的辦公室或是否位於向公眾開放的隔離區域),以及典型攻擊者需要花費多少時間才能在不被發現的情況下破壞您的實體安全。
- 使用某種磁碟加密,例如 BitLocker 或 TrueCrypt。雖然這不會阻止專門的攻擊者重新格式化您的系統(如果他們能夠獲得物理訪問權限並重置您的BIOS 密碼),但它將阻止幾乎任何人訪問您的系統(假設您很好地保護了您的密鑰並且您的攻擊者沒有訪問任何後門)。
答案2
這裡的問題是對機器的物理存取。停用從 CD/USB 啟動的功能並使用密碼鎖定 BIOS。然而,這並不能阻止那些有足夠時間單獨操作機器的人透過多種不同的方法闖入它。
答案3
SETHC.exe 也可以替換為 explorer.exe(或任何其他 .exe)的副本,從而從登入畫面提供完整的系統級存取。不再重複其他內容,但如果您談論的是伺服器安全性,我認為一定程度的實體安全性已經到位。多少取決於您的組織列出的可接受的風險。
我發布此內容可能是為了走不同的路線。如果您擔心組織中的使用者社群可以或將會對 Windows 7 工作站執行此操作(如您在問題中所述),則規避這些類型攻擊的唯一方法是將計算「移動」到資料中心。這可以透過多種技術來實現。儘管許多其他供應商也提供類似的產品,但我將選擇 Citrix 產品來簡要概述流程。使用 XenApp、XenDesktop、Machine Creation Services 或 Provisioning Services,您可以將工作站「移至」資料中心。此時(只要您的資料中心是安全的)您就擁有了工作站的實體安全性。您可以使用瘦客戶端或功能齊全的工作站來存取資料中心託管的桌面。在任何這些場景中,您都需要一些虛擬機器管理程式作為主力。這個想法是,無論使用者所在的實體機是否受到損害,其安全狀態的風險都很小。基本上,實體工作站只能存取非常有限的資源(AD、DHCP、DNS 等)。在這種情況下,所有資料和所有存取都僅授予 DC 中的虛擬資源,即使工作站或瘦客戶端受到威脅,也無法從該端點獲得任何好處。這種類型的設定更適合大型企業或高安全性環境。只是想我會把這個當作一個可能的答案扔掉。
答案4
只需在按 5 次 Shift 時停用黏滯鍵提示即可運作。那麼當CMD重命名為SETHC時,就不會彈出了。解決了。
Win7:
- 開始 > 輸入“更改鍵盤的工作方式”
- 點選第一個選項
- 點擊設定黏滯鍵
- 取消勾選按 5 次 Shift 時開啟黏滯鍵。
實際上,您並不需要在 USB 上有 Windows 光碟或映像來使漏洞發揮作用。我想說的是,禁止電腦從內部系統磁碟機以外的磁碟機啟動並不能阻止漏洞。此解決方法是透過在電腦啟動時重置電腦並使用啟動修復來存取檔案系統以將 CMD 重新命名為 SETHC 來完成。當然,這對磁碟機來說很困難,但如果你闖入別人的機器,你並不在乎。