Sethc.exe हैक को कैसे रोकें?


19

एक शोषण है जो उपयोगकर्ताओं को विंडोज पर व्यवस्थापक पासवर्ड रीसेट करने की अनुमति देता है। इसे रिपेयर डिस्क से बूट करके, कमांड प्रॉम्प्ट शुरू करके, C: \ Windows \ System32 \ sethc.exe को C: \ Windows \ System32 \ cmd.exe के साथ बदल दिया जाता है।

जब लॉगऑन स्क्रीन पर चिपचिपा कुंजी संयोजन दबाया जाता है, तो उपयोगकर्ताओं को प्रशासक विशेषाधिकारों के साथ कमांड प्रॉम्प्ट तक पहुंच मिलती है।

यह एक विशाल सुरक्षा छेद है, जो किसी को भी थोड़े से आईटी ज्ञान के साथ ओएस के लिए असुरक्षित बनाता है। यह लगभग आपको मैक या लिनक्स पर स्विच करना चाहता है। इसकी रोकथाम कैसे की जा सकती है?


3
मुझे वास्तव में इसके बारे में फ़ज़ नहीं है। ऐसा नहीं है कि वहाँ उपयोगिताएँ नहीं हैं जो व्यवस्थापक पासवर्ड रीसेट कर सकती हैं (जैसे हिरेन के बीसीडी या Win7Live पर)। यदि हमलावर सेथक फ़ाइल को बदल सकता है तो वह कुछ रीसेट उपयोगिता का उपयोग कर सकता है ...
एलियाडटेक

27
किसी को आपके कंप्यूटर के लिए शारीरिक पहुँच गया है, तो आप सुरक्षा अलविदा चुंबन कर सकते हैं।
बर्ट

2
यह लगभग आपको लिनक्स पर स्विच करना चाहता है, जहां यदि आप एक मरम्मत डिस्क को बूट करते हैं, तो आप सभी हैक की आवश्यकता के बिना बस व्यवस्थापक पासवर्ड बदल सकते हैं ...
pqnet

जवाबों:


16

किसी हमलावर को मरम्मत डिस्क से बूट करने से रोकने के लिए और इसका उपयोग करने के लिए आपके सिस्टम तक पहुँच प्राप्त करने के लिए, कई कदम हैं जो आपको उठाने चाहिए। महत्व के क्रम में:

  • हटाने योग्य मीडिया से बूटिंग को रोकने के लिए अपनी BIOS / UEFI सेटिंग्स का उपयोग करें, या बाहरी मीडिया से बूट करने के लिए पासवर्ड की आवश्यकता होती है। इसके लिए प्रक्रिया मदरबोर्ड से मदरबोर्ड में भिन्न होती है।
  • अपना टॉवर बंद करो। आमतौर पर BIOS / UEFI सेटिंग्स (पासवर्ड सहित) रीसेट करने का एक तरीका है यदि कोई हमलावर मदरबोर्ड पर भौतिक पहुंच प्राप्त करता है, तो आप इसे रोकना चाहते हैं। आप कितनी दूर तक जाते हैं यह उन कारकों पर निर्भर करता है जैसे कि आपके द्वारा संरक्षित डेटा का महत्व, आपके हमलावर कितने समर्पित हैं, आपके कार्य केंद्र तक जाने वाली भौतिक सुरक्षा का प्रकार (जैसे यह एक कार्यालय में है कि केवल सहकर्मी ही पहुंच सकते हैं या यह एक अलग क्षेत्र में जनता के लिए खुला है), और एक विशिष्ट हमलावर को आपकी शारीरिक सुरक्षा को देखे बिना कितने समय के लिए तोड़ना होगा।
  • किसी प्रकार के डिस्क एन्क्रिप्शन का उपयोग करें जैसे कि BitLocker या TrueCrypt। हालांकि यह आपके सिस्टम को पुन: स्वरूपित करने से एक समर्पित हमलावर को रोक नहीं सकता है यदि वे भौतिक एक्सेस प्राप्त कर सकते हैं और आपके BIOS पासवर्ड को रीसेट कर सकते हैं, तो यह लगभग किसी को भी आपके सिस्टम तक पहुंच प्राप्त करने से रोक देगा (यह मानते हुए कि आप अपनी कुंजियों की अच्छी तरह से रक्षा करते हैं और आपके हमलावर के पास नहीं है किसी भी बैकडोर तक पहुंच)।

8

यहाँ समस्या मशीन की भौतिक पहुँच की है। सीडी / यूएसबी से बूट करने की क्षमता को अक्षम करें और पासवर्ड के साथ BIOS को लॉक करें। हालांकि, यह किसी को मशीन के साथ अकेले पर्याप्त समय के साथ कई अलग-अलग तरीकों से इसे तोड़ने से नहीं रोकेगा।


2
+1 कई में से ... आपने एक बाड़पोस्ट चलाई, हमलावर इसके चारों ओर चलता है।
फासको लैब्स

यदि आपके पास भौतिक पहुँच है, तो आमतौर पर फ़ैक्टरी डिफ़ॉल्ट के लिए BIOS / UEFI सेटिंग्स को रीसेट किया जा सकता है।
स्कोलाइटस

5

SETHC.exe को लोगॉन स्क्रीन से पूर्ण सिस्टम लेवल एक्सेस देने के साथ-साथ explorer.exe (या किसी अन्य .exe) की एक प्रति के साथ भी बदला जा सकता है। दूसरों को दोहराने के लिए नहीं, लेकिन अगर आप सर्वर सुरक्षा के बारे में बात कर रहे हैं, तो मुझे लगता है कि भौतिक सुरक्षा की एक निश्चित मात्रा पहले से ही है। कितना, आपके संगठन द्वारा उल्लिखित स्वीकार्य जोखिम पर निर्भर करता है।

मैं शायद एक अलग मार्ग पर जाने के लिए यह पोस्ट कर रहा हूं। यदि आप चिंतित हैं कि आपके संगठन में उपयोगकर्ता समुदाय विंडोज 7 वर्कस्टेशन (जैसा कि आपने प्रश्न में वर्णित है) को इन प्रकार के हमलों को दरकिनार करने का एकमात्र तरीका डेटासेंटर में "स्थानांतरित" करना है। यह किसी भी संख्या में तकनीकों के साथ पूरा किया जा सकता है। मैं Citrix उत्पादों को संक्षिप्त रूप से प्रक्रिया का अवलोकन करने के लिए चुनूंगा, हालांकि कई अन्य विक्रेता समान प्रसाद प्रदान करते हैं। XenApp, XenDesktop, मशीन निर्माण सेवाओं, या प्रावधान सेवाओं का उपयोग करके आप कार्य केंद्र को डेटासेंटर में "स्थानांतरित" कर सकते हैं। इस बिंदु पर (जब तक आपका डेटासेंटर सुरक्षित है) आपके पास कार्य केंद्र पर भौतिक सुरक्षा है। आप या तो पतले क्लाइंट का उपयोग कर सकते हैं, या डेटासेंटर से होस्ट किए गए डेस्कटॉप तक पहुंचने के लिए पूरी तरह से सक्षम वर्कस्टेशन। इनमें से किसी भी परिदृश्य में आपको वर्कहॉर्स के रूप में कुछ हाइपरविजर की आवश्यकता होगी। यह विचार है कि उपयोगकर्ता जिस भौतिक मशीन पर है, उसकी सुरक्षा स्थिति माइनसक्यूल रिस्क की है, भले ही यह समझौता हो या न हो। मूल रूप से, भौतिक कार्यस्थानों के पास बहुत ही सीमित संसाधनों (AD, DHCP, DNS, आदि) की पहुंच है। इस परिदृश्य के साथ, सभी डेटा, और सभी एक्सेस केवल डीसी में आभासी संसाधनों को दी जाती है, और भले ही वर्कस्टेशन या पतले क्लाइंट से समझौता किया गया हो, उस समापन बिंदु से कोई लाभ नहीं हो सकता है। इस प्रकार का सेटअप बड़े उद्यमों, या उच्च सुरक्षा वातावरणों के लिए अधिक है। बस मैंने सोचा कि मैं इसे एक संभावित उत्तर के रूप में बाहर फेंक दूंगा। यह विचार है कि उपयोगकर्ता जिस भौतिक मशीन पर है, उसकी सुरक्षा स्थिति माइनसक्यूल रिस्क की है, भले ही यह समझौता हो या न हो। मूल रूप से, भौतिक कार्यस्थानों के पास बहुत ही सीमित संसाधनों (AD, DHCP, DNS, आदि) की पहुंच है। इस परिदृश्य के साथ, सभी डेटा, और सभी एक्सेस केवल डीसी में आभासी संसाधनों को दी जाती है, और भले ही वर्कस्टेशन या पतले क्लाइंट से समझौता किया गया हो, उस समापन बिंदु से कोई लाभ नहीं हो सकता है। इस प्रकार का सेटअप बड़े उद्यमों, या उच्च सुरक्षा वातावरणों के लिए अधिक है। बस मैंने सोचा कि मैं इसे एक संभावित उत्तर के रूप में बाहर फेंक दूंगा। यह विचार है कि उपयोगकर्ता जिस भौतिक मशीन पर है, उसकी सुरक्षा स्थिति माइनसक्यूल रिस्क की है, भले ही यह समझौता हो या न हो। मूल रूप से, भौतिक कार्यस्थानों के पास बहुत ही सीमित संसाधनों (AD, DHCP, DNS, आदि) की पहुंच है। इस परिदृश्य के साथ, सभी डेटा, और सभी एक्सेस केवल डीसी में आभासी संसाधनों को दी जाती है, और भले ही वर्कस्टेशन या पतले क्लाइंट से समझौता किया गया हो, उस समापन बिंदु से कोई लाभ नहीं हो सकता है। इस प्रकार का सेटअप बड़े उद्यमों, या उच्च सुरक्षा वातावरणों के लिए अधिक है। बस मैंने सोचा कि मैं इसे एक संभावित उत्तर के रूप में बाहर फेंक दूंगा। और यहां तक ​​कि अगर वर्कस्टेशन या पतले ग्राहक से समझौता किया जाता है, तो उस समापन बिंदु से कोई लाभ नहीं हो सकता है। इस प्रकार का सेटअप बड़े उद्यमों, या उच्च सुरक्षा वातावरणों के लिए अधिक है। बस मैंने सोचा कि मैं इसे एक संभावित उत्तर के रूप में बाहर फेंक दूंगा। और यहां तक ​​कि अगर वर्कस्टेशन या पतले ग्राहक से समझौता किया जाता है, तो उस समापन बिंदु से कोई लाभ नहीं हो सकता है। इस प्रकार का सेटअप बड़े उद्यमों, या उच्च सुरक्षा वातावरणों के लिए अधिक है। बस मैंने सोचा कि मैं इसे एक संभावित उत्तर के रूप में बाहर फेंक दूंगा।


मैंने ऐसे माहौल में सेटअप किया और खराब हो गया। 2 समस्याएं जिन्हें मैं हल करने में सक्षम नहीं था: उपयोगकर्ता पतली क्लाइंट पर स्थानीय व्यवस्थापक पासवर्ड को क्रैक करता है और चूंकि सर्वर पर सक्रिय निर्देशिका के तहत टीसी है, स्थानीय व्यवस्थापक एक फ़ोल्डर साझा करता है और इसे अपने वीएम में मैप करता है और इसे स्थानांतरित करता है। दूसरी समस्या: RDP आरंभ करते समय उपयोगकर्ता डेटा को बाहर निकालने के लिए एक साधारण स्क्रीन रिकॉर्डर का उपयोग करता है।
अक्षय इम्मानुएल डी

क्यों एक स्थानीय व्यवस्थापक (सर्वर व्यवस्थापक नहीं) द्वारा साझा किए गए फ़ोल्डर्स xp / जीत 7 मशीन में एक सर्वर डोमेन, हाइपर- V में सर्वर पर एक वीएम पर मैप किए जा सकने वाले फ़ोल्डर्स को साझा करने में सक्षम
AkshayImmanuelD

3

जब आप शिफ्ट को 5 बार दबाते हैं तो बस स्टिक कीज़ को चलने से रोकें। फिर जब सीएमडी को SETHC का नाम दिया जाता है, तो यह पॉप अप नहीं होगा। हल किया।

Win7:

  1. प्रारंभ> प्रकार "बदलें कि आपका कीबोर्ड कैसे काम करता है"
  2. पहले विकल्प पर क्लिक करें
  3. स्टिकी कुंजी सेट अप पर क्लिक करें
  4. जब पारी को 5 बार दबाया जाए तो चिपचिपी चाबियों को अनचेक करें।

आपको शोषण कार्य करने के लिए या तो USB पर Windows डिस्क या छवि की आवश्यकता नहीं है। मैं यह कहने की कोशिश कर रहा हूं कि आंतरिक सिस्टम ड्राइव की तुलना में पीसी को एक अलग ड्राइव से शुरू करने से अक्षम करने से शोषण को रोका नहीं जा सकेगा। यह वर्कअराउंड कंप्यूटर को रीसेट करने के द्वारा किया जाता है जब यह शुरू हो रहा है और सीएमडी का नाम बदलने के लिए फाइल सिस्टम तक पहुंच प्राप्त करने के लिए स्टार्टअप मरम्मत का उपयोग कर रहा है। यकीन है, यह डिस्क ड्राइव पर कठिन है, लेकिन अगर आप किसी और की मशीन में तोड़ रहे हैं, तो आप वास्तव में परवाह नहीं करते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.