Ada exploit yang memungkinkan pengguna untuk mereset kata sandi Administrator di Windows. Hal ini dilakukan dengan mem-boot dari disk perbaikan, memulai prompt perintah, dan mengganti C: \ Windows \ System32 \ sethc.exe dengan C: \ Windows \ System32 \ cmd.exe.
Ketika kombinasi tombol lengket ditekan pada layar masuk, pengguna mendapatkan akses ke prompt perintah dengan hak istimewa Administrator.
Ini adalah lubang keamanan besar, membuat OS rentan terhadap siapa pun yang memiliki pengetahuan IT sekecil apa pun. Itu hampir membuat Anda ingin beralih ke Mac atau Linux. bagaimana mencegahnya?
windows-7
windows
security
system-repair-disc
Yesus Pedro
sumber
sumber
Jawaban:
Untuk mencegah penyerang mem-boot dari disk perbaikan dan menggunakannya untuk mendapatkan akses ke sistem Anda, ada beberapa langkah yang harus Anda ambil. Dalam urutan kepentingan:
sumber
Masalahnya di sini adalah akses fisik ke mesin. Nonaktifkan kemampuan untuk boot dari CD / USB dan kunci BIOS dengan kata sandi. Namun, ini tidak akan mencegah seseorang dengan waktu yang cukup sendirian dengan mesin membobolnya dengan berbagai metode.
sumber
SETHC.exe juga dapat diganti dengan salinan explorer.exe (atau .exe lainnya) yang memberikan akses tingkat sistem penuh dari layar masuk juga. Bukan untuk mengulang yang lain, tetapi jika Anda berbicara tentang keamanan server, saya akan berpikir bahwa sejumlah keamanan fisik sudah ada. Berapa banyak, tergantung pada risiko yang dapat diterima yang digariskan oleh organisasi Anda.
Saya memposting ini untuk mungkin pergi ke rute yang berbeda. Jika Anda khawatir bahwa komunitas pengguna di organisasi Anda dapat atau akan melakukan ini ke workstation Windows 7 (seperti yang Anda jelaskan dalam pertanyaan) satu-satunya cara untuk menghindari jenis serangan ini adalah dengan "memindahkan" komputasi ke dalam pusat data. Ini dapat dicapai dengan sejumlah teknologi. Saya akan memilih produk Citrix untuk meninjau proses secara singkat, meskipun banyak vendor lain yang menawarkan penawaran serupa. Menggunakan XenApp, XenDesktop, Layanan Pembuatan Mesin, atau Layanan Provisioning Anda dapat "memindahkan" workstation ke pusat data. Pada titik ini (selama pusat data Anda aman) Anda memiliki keamanan fisik atas workstation. Anda bisa menggunakan thin client, atau workstation yang sepenuhnya dapat mengakses desktop yang dihosting dari pusat data. Dalam salah satu skenario ini Anda akan memerlukan beberapa hipvervisor sebagai pekerja keras. Idenya adalah bahwa keadaan keamanan mesin fisik pengguna adalah risiko sangat kecil terlepas dari apakah itu dikompromikan atau tidak. Pada dasarnya, workstation fisik hanya memiliki akses ke sumber daya yang sangat terbatas (AD, DHCP, DNS, dll.). Dengan skenario ini, semua data, dan semua akses diberikan hanya ke sumber daya virtual di DC, dan bahkan jika workstation atau thin client dikompromikan, tidak ada keuntungan yang dapat diperoleh dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. Idenya adalah bahwa keadaan keamanan mesin fisik pengguna adalah risiko sangat kecil terlepas dari apakah itu dikompromikan atau tidak. Pada dasarnya, workstation fisik hanya memiliki akses ke sumber daya yang sangat terbatas (AD, DHCP, DNS, dll.). Dengan skenario ini, semua data, dan semua akses diberikan hanya ke sumber daya virtual di DC, dan bahkan jika workstation atau thin client dikompromikan, tidak ada keuntungan yang dapat diperoleh dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. Idenya adalah bahwa keadaan keamanan mesin fisik pengguna adalah risiko sangat kecil terlepas dari apakah itu dikompromikan atau tidak. Pada dasarnya, workstation fisik hanya memiliki akses ke sumber daya yang sangat terbatas (AD, DHCP, DNS, dll.). Dengan skenario ini, semua data, dan semua akses diberikan hanya ke sumber daya virtual di DC, dan bahkan jika workstation atau thin client dikompromikan, tidak ada keuntungan yang dapat diperoleh dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. dan bahkan jika workstation atau thin client terganggu, tidak ada keuntungan yang bisa didapat dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. dan bahkan jika workstation atau thin client terganggu, tidak ada keuntungan yang bisa didapat dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin.
sumber
Nonaktifkan saja tombol lengket yang meminta agar tidak dijalankan saat Anda menekan shift 5 kali. Kemudian ketika CMD diganti namanya menjadi SETHC, itu tidak akan muncul. Terpecahkan.
Win7:
Anda benar-benar tidak perlu memiliki cakram Windows atau gambar pada USB baik untuk membuat karya mengeksploitasi. Saya mencoba mengatakan bahwa menonaktifkan PC dari mulai dari drive yang berbeda dari drive sistem internal tidak akan mencegah eksploitasi dilakukan. Penanganan masalah ini dilakukan dengan mengatur ulang komputer saat komputer dinyalakan dan menggunakan perbaikan startup untuk mendapatkan akses ke sistem file untuk mengubah nama CMD menjadi SETHC. Tentu, ini sulit pada disk drive, tetapi jika Anda membobol mesin orang lain, Anda tidak terlalu peduli.
sumber