sethc.exe 해킹을 방지하는 방법?

사용자가 Windows에서 관리자 비밀번호를 재설정 할 수있는 악용이 있습니다. 복구 디스크로 부팅하고 명령 프롬프트를 시작한 다음 C : \ Windows \ System32 \ sethc.exe를 C : \ Windows \ System32 \ cmd.exe로 바꾸면됩니다.

로그온 화면에서 고정 키 조합을 누르면 관리자 권한으로 명령 프롬프트에 액세스 할 수 있습니다.

이것은 엄청난 보안 허점으로, IT 지식이 가장 적은 사람에게도 OS를 취약하게 만듭니다. 거의 Mac 또는 Linux로 전환하고 싶습니다. 어떻게 예방할 수 있습니까?

공격자가 복구 디스크로 부팅하고이를 사용하여 시스템에 액세스하지 못하게하려면 몇 가지 단계를 수행해야합니다. 중요하게 :

• BIOS / UEFI 설정을 사용하여 이동식 미디어로 부팅하지 못하게하거나 외부 미디어로 부팅하려면 암호가 필요합니다. 이에 대한 절차는 마더 보드마다 다릅니다.
• 타워를 잠그십시오. 공격자가 마더 보드에 물리적으로 액세스 할 경우 일반적으로 BIOS / UEFI 설정 (암호 포함)을 재설정하는 방법이 있으므로이를 방지 할 수 있습니다. 얼마나 멀리 갈 것인지는 보호하는 데이터의 중요성, 공격자 전용 방법, 워크 스테이션으로 이어지는 물리적 보안의 종류 (예 : 동료 만 액세스 할 수있는 사무실 또는 일반인에게 공개 된 격리 된 영역에 있으며 일반적인 공격자가 보지 않고 물리적 보안을 해제해야하는 시간입니다.
• BitLocker 또는 TrueCrypt와 같은 일종의 디스크 암호화를 사용하십시오. 이렇게해도 전용 공격자가 물리적 액세스 권한을 얻어 BIOS 암호를 재설정 할 수있는 경우 시스템을 다시 포맷하는 것을 막지는 않지만 거의 모든 사람이 시스템에 액세스하는 것을 막을 수 있습니다 (키를 잘 보호하고 공격자가 가지고 있지 않다고 가정 할 경우) 모든 백도어에 액세스).

여기서 문제는 머신에 대한 물리적 액세스입니다. CD / USB에서 부팅하는 기능을 비활성화하고 암호로 BIOS를 잠급니다. 그러나 이렇게해도 충분한 시간을 가진 사람이 기계를 여러 가지 방법으로 침입하는 것을 막을 수는 없습니다.

SETHC.exe는 로그온 화면에서도 전체 시스템 수준 액세스를 제공하는 explorer.exe (또는 다른 .exe)의 복사본으로 대체 될 수 있습니다. 다른 사람들을 반복하지 말고 서버 보안에 대해 이야기하고 있다면 일정량의 물리적 보안이 이미 있다고 생각합니다. 얼마, 조직에서 제시 한 수용 가능한 위험에 따라 다릅니다.

다른 경로로 이동하기 위해 이것을 게시하고 있습니다. 조직의 사용자 커뮤니티가 Windows 7 워크 스테이션에서이를 수행 할 수 있거나 우려 할 경우 (질문에 설명 된대로) 이러한 유형의 공격을 피하는 유일한 방법은 컴퓨팅을 데이터 센터로 "이동"하는 것입니다. 이것은 여러 기술로 수행 할 수 있습니다. 다른 공급 업체에서도 유사한 제품을 제공하지만 프로세스를 간략하게 설명하기 위해 Citrix 제품을 선택하겠습니다. XenApp, XenDesktop, Machine Creation Services 또는 Provisioning Services를 사용하여 워크 스테이션을 데이터 센터로 "이동"할 수 있습니다. 이 시점에서 (데이터 센터가 안전한 한) 워크 스테이션에 대한 물리적 보안이 유지됩니다. 씬 클라이언트 또는 완전한 기능을 갖춘 워크 스테이션을 사용하여 데이터 센터에서 호스팅되는 데스크톱에 액세스 할 수 있습니다. 이 시나리오들 중 어느 것에서 나 일하는 사람으로서 hypvervisor가 필요합니다. 아이디어는 사용자가있는 실제 머신의 보안 상태가 손상 여부에 관계없이 사소한 위험에 있다는 것입니다. 기본적으로 실제 워크 스테이션은 매우 제한된 수의 리소스 (AD, DHCP, DNS 등)에만 액세스 할 수 있습니다. 이 시나리오에서는 모든 데이터와 모든 액세스 권한이 DC의 가상 리소스에만 부여되며 워크 스테이션이나 씬 클라이언트가 손상 되더라도 해당 엔드 포인트에서 이득을 얻을 수 없습니다. 이 유형의 설정은 대기업 또는 보안 수준이 높은 환경에 적합합니다. 가능한 대답으로 이것을 버릴 것이라고 생각했습니다. 아이디어는 사용자가있는 실제 머신의 보안 상태가 손상 여부에 관계없이 사소한 위험에 있다는 것입니다. 기본적으로 실제 워크 스테이션은 매우 제한된 수의 리소스 (AD, DHCP, DNS 등)에만 액세스 할 수 있습니다. 이 시나리오에서는 모든 데이터와 모든 액세스 권한이 DC의 가상 리소스에만 부여되며 워크 스테이션이나 씬 클라이언트가 손상 되더라도 해당 엔드 포인트에서 이득을 얻을 수 없습니다. 이 유형의 설정은 대기업 또는 보안 수준이 높은 환경에 적합합니다. 가능한 대답으로 이것을 버릴 것이라고 생각했습니다. 아이디어는 사용자가있는 실제 머신의 보안 상태가 손상 여부에 관계없이 사소한 위험에 있다는 것입니다. 기본적으로 실제 워크 스테이션은 매우 제한된 수의 리소스 (AD, DHCP, DNS 등)에만 액세스 할 수 있습니다. 이 시나리오에서는 모든 데이터와 모든 액세스 권한이 DC의 가상 리소스에만 부여되며 워크 스테이션이나 씬 클라이언트가 손상 되더라도 해당 엔드 포인트에서 이득을 얻을 수 없습니다. 이 유형의 설정은 대기업 또는 보안 수준이 높은 환경에 적합합니다. 가능한 대답으로 이것을 버릴 것이라고 생각했습니다. 워크 스테이션 또는 씬 클라이언트가 손상된 경우에도 해당 엔드 포인트에서 얻을 수있는 이점은 없습니다. 이 유형의 설정은 대기업 또는 보안 수준이 높은 환경에 적합합니다. 가능한 대답으로 이것을 버릴 것이라고 생각했습니다. 워크 스테이션 또는 씬 클라이언트가 손상된 경우에도 해당 엔드 포인트에서 얻을 수있는 이점은 없습니다. 이 유형의 설정은 대기업 또는 보안 수준이 높은 환경에 적합합니다. 가능한 대답으로 이것을 버릴 것이라고 생각했습니다.

Shift 키를 5 번 누르면 고정 키 프롬프트가 실행되지 않습니다. 그런 다음 CMD의 이름이 SETHC로 바뀌면 팝업되지 않습니다. 해결되었습니다.

Win7 :

1. 시작> "키보드 작동 방식 변경"을 입력하십시오
2. 첫 번째 옵션을 클릭하십시오
3. 고정 키 설정 클릭
4. Shift 키를 5 번 누르면 고정 키 켜기를 선택 취소하십시오.

익스플로잇 작업을 수행하기 위해 USB에 Windows 디스크 나 이미지가 필요하지 않습니다. 내부 시스템 드라이브가 아닌 다른 드라이브에서 PC를 시작하지 못하게해도 악용이 수행되는 것을 막을 수는 없습니다. 이 해결 방법은 컴퓨터를 시작할 때 컴퓨터를 재설정하고 시작 복구를 사용하여 파일 시스템에 액세스하여 CMD의 이름을 SETHC로 바꾸는 방법으로 수행됩니다. 물론, 디스크 드라이브에는 어려움이 있지만 다른 사람의 컴퓨터에 침입하는 경우에는 신경 쓰지 않아도됩니다.