sethc.exeハックを防ぐ方法

ユーザーがWindowsで管理者パスワードをリセットできるようにするエクスプロイトがあります。修復ディスクから起動し、コマンドプロンプトを起動して、C：\ Windows \ System32 \ sethc.exeをC：\ Windows \ System32 \ cmd.exeに置き換えます。

ログオン画面でスティッキーキーの組み合わせを押すと、ユーザーは管理者権限でコマンドプロンプトにアクセスできます。

これは大きなセキュリティホールであり、わずかなIT知識を持つ人でもOSを脆弱にします。MacまたはLinuxに切り替えたいと思うようになります。どうすればそれを防ぐことができますか？

攻撃者が修復ディスクから起動し、それを使用してシステムにアクセスするのを防ぐには、いくつかの手順を実行する必要があります。重要な順に：

• BIOS / UEFI設定を使用して、リムーバブルメディアからの起動を防止するか、外部メディアからの起動にパスワードを要求します。この手順は、マザーボードごとに異なります。
• タワーをロックします。通常、攻撃者がマザーボードに物理的にアクセスできるようになった場合、BIOS / UEFI設定（パスワードを含む）をリセットする方法があるため、これを防ぐ必要があります。どこまで行くかは、保護しているデータの重要性、攻撃者の献身度、ワークステーションに至る物理的なセキュリティの種類などの要因に依存します（たとえば、同僚だけがアクセスできるオフィスや、一般公開されている隔離されたエリアにあります）、そして典型的な攻撃者が見られずにあなたの物理的なセキュリティを破るのにどれくらいの時間を要しますか。
• BitLockerやTrueCryptなどのディスク暗号化を使用します。これにより、専用の攻撃者が物理的なアクセスを取得してBIOSパスワードをリセットできる場合、システムを再フォーマットすることはできませんが、ほとんどの人がシステムにアクセスすることはできません（キーを十分に保護し、攻撃者が持っていない場合）バックドアへのアクセス）。

ここでの問題は、マシンへの物理的なアクセスです。CD / USBから起動する機能を無効にし、BIOSをパスワードでロックします。ただし、これは、マシンと一緒に十分な時間を持っている人が、さまざまな方法でマシンに侵入することを妨げるものではありません。

SETHC.exeは、explorer.exe（またはその他の.exe）のコピーに置き換えることもできます。これにより、ログオン画面からも完全なシステムレベルのアクセスが可能になります。他の人を繰り返すことはしませんが、サーバーのセキュリティについて話しているのであれば、ある程度の物理的セキュリティがすでに整っていると思います。どれだけ、組織によって概説された許容可能なリスクに依存します。

おそらく別のルートに行くためにこれを投稿しています。組織のユーザーコミュニティが（質問で説明したように）Windows 7ワークステーションに対してこれを実行できる、または実行することを懸念している場合、これらの種類の攻撃を回避する唯一の方法は、コンピューティングをデータセンターに移動することです。これは、任意の数のテクノロジーで実現できます。他の多くのベンダーが同様の製品を提供していますが、Citrix製品を選択してプロセスの概要を簡単に説明します。XenApp、XenDesktop、Machine Creation Services、またはProvisioning Servicesのいずれかを使用して、ワークステーションをデータセンターに「移動」できます。この時点で（データセンターが安全である限り）、ワークステーション上で物理的なセキュリティが確保されています。シンクライアントまたは完全に機能するワークステーションを使用して、データセンターからホストされているデスクトップにアクセスできます。これらのシナリオのいずれにおいても、主力者としてハイパーバイザーが必要になります。ユーザーがいる物理マシンのセキュリティ状態は、侵害されているかどうかに関係なく、非常に小さなリスクであるという考え方です。基本的に、物理ワークステーションは非常に限られた数のリソース（AD、DHCP、DNSなど）にのみアクセスできます。このシナリオでは、すべてのデータとすべてのアクセスがDCの仮想リソースにのみ許可され、ワー​​クステーションまたはシンクライアントが危険にさらされても、そのエンドポイントから利益を得ることはできません。このタイプのセットアップは、大企業や高セキュリティ環境向けです。これを可能な答えとして捨てると思った。ユーザーがいる物理マシンのセキュリティ状態は、侵害されているかどうかに関係なく、非常に小さなリスクであるという考え方です。基本的に、物理ワークステーションは非常に限られた数のリソース（AD、DHCP、DNSなど）にのみアクセスできます。このシナリオでは、すべてのデータとすべてのアクセスがDCの仮想リソースにのみ許可され、ワー​​クステーションまたはシンクライアントが危険にさらされても、そのエンドポイントから利益を得ることはできません。このタイプのセットアップは、大企業や高セキュリティ環境向けです。これを可能な答えとして捨てると思った。ユーザーがいる物理マシンのセキュリティ状態は、侵害されているかどうかに関係なく、非常に小さなリスクであるという考え方です。基本的に、物理ワークステーションは非常に限られた数のリソース（AD、DHCP、DNSなど）にのみアクセスできます。このシナリオでは、すべてのデータとすべてのアクセスがDCの仮想リソースにのみ許可され、ワー​​クステーションまたはシンクライアントが危険にさらされても、そのエンドポイントから利益を得ることはできません。このタイプのセットアップは、大企業や高セキュリティ環境向けです。これを可能な答えとして捨てると思った。ワークステーションまたはシンクライアントが危険にさらされても、そのエンドポイントから利益を得ることはできません。このタイプのセットアップは、大企業や高セキュリティ環境向けです。これを可能な答えとして捨てると思った。ワークステーションまたはシンクライアントが危険にさらされても、そのエンドポイントから利益を得ることはできません。このタイプのセットアップは、大企業や高セキュリティ環境向けです。これを可能な答えとして捨てると思った。

Shiftキーを5回押すと、スティッキーキープロンプトの実行が無効になります。その後、CMDの名前がSETHCに変更されると、ポップアップしません。解決しました。

Win7：

1. スタート>「キーボードの動作を変更する」と入力します
2. 最初のオプションをクリックします
3. スティッキーキーのセットアップをクリックします
4. シフトが5回押されたときにスティッキーキーをオンにするのチェックを外します。

エクスプロイトを機能させるために、WindowsディスクまたはUSB上のイメージを用意する必要はありません。内部システムドライブとは別のドライブからPCを起動できないようにしても、この脆弱性の悪用を防ぐことはできません。この回避策は、起動時にコンピューターをリセットし、スタートアップ修復を使用してファイルシステムにアクセスし、CMDの名前をSETHCに変更することで実行されます。確かに、ディスクドライブ上では難しいのですが、他の人のマシンに侵入している場合は、あまり気にしません。