Как предотвратить sethc.exe взломать?

для того, чтобы предотвратить загрузку с диска восстановления и использования, что, чтобы получить доступ к вашей системе, есть несколько шагов вы должны принять. В порядке важности:

• использовать настройки BIOS/UEFI, чтобы предотвратить загрузку со съемного носителя, или требовать пароль для загрузки с внешнего носителя. Процедура для этого варьируется от материнской платы к материнской плате.
• заприте вашу башню. Обычно существует способ сброса настроек BIOS / UEFI (включая пароли), если злоумышленник получает физический доступ к материнской плате, поэтому вы хотите, чтобы предотвратить это. Как далеко вы зайдете, зависит от таких факторов, как важность данных, которые вы защищаете, как преданный ваш злоумышленники, своего рода физической безопасности, ведущих к вашей рабочей станции (например, в офисе, что только сотрудники могут получить доступ или это в изолированной зоне, открытой для общественности), и сколько времени типичный злоумышленнику придется ломать свою физическую охрану без виданный.
• использовать какое-то шифрование диска, например BitLocker или TrueCrypt. В то время как это не остановит выделенный злоумышленник от переформатирования системы, если они могут получить физический доступ и сбросить пароль BIOS, он будет почти любой из получения доступа к атакующему (при условии, что вы охраняете ваши ключи хорошо, и ваш злоумышленник не имеет доступа к любым бэкдоров).

проблема заключается в физическом доступе к машине. Отключите возможность загрузки с CD / USB и заблокируйте BIOS паролем. Однако, это не помешает кому-то с достаточным временем самостоятельно с машиной от ломать в ее с многочисленными различными методами.

SETHC.exe также может быть заменен копией explorer.ехе (или любой другой .exe) предоставление полного доступа на уровне системы с экрана входа в систему, а также. Не повторять другие, но если вы говорите о безопасности сервера, я бы подумал, что определенная физическая безопасность уже существует. Насколько, зависит от приемлемого риска, изложенного вашей организацией.

Я отправляю это, чтобы, возможно, пойти другим путем. Если вы обеспокоены тем, что сообщество пользователей организация может или будет делать это с рабочими станциями Windows 7 (как описано в вопросе) единственный способ обойти эти типы атак - "переместить" вычисления в центр обработки данных. Это может быть достигнуто с помощью любого количества технологий. Я выберу продукты Citrix, чтобы кратко описать процесс, хотя многие другие поставщики предоставляют аналогичные предложения. Используя для XenApp, XenDesktop, в создании машины услуг или предоставления услуг, которыми вы сможете "переехать" на рабочей станции в центр обработки данных. На этом этапе (пока ваш центр обработки данных защищен) у вас есть физическая безопасность по рабочей станции. Для доступа к рабочему столу, размещенному в центре обработки данных, можно использовать тонкие клиенты или полностью работоспособные рабочие станции. В любом из этих случаев вам потребуется hypvervisor как ломовая лошадь. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, имеет незначительный риск независимо от того, скомпрометировано это или нет. В принципе, физические рабочие станции имеют только доступ к очень ограниченному количеству ресурсов (реклама, DHCP-серверы, DNS и т. д.). В этом случае все данные и весь доступ предоставляется только к виртуальным ресурсам в контроллере домена, и даже если рабочая станция или тонкий клиент скомпрометирован, не может быть никакого усиления от этой конечной точки. Этот тип установки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто подумал, что выкину это как возможный ответ.