为了防止BadUSB按键注入攻击,要求密码以管理员身份访问命令行似乎是合乎逻辑的。可以通过将以下注册表项的“值数据”修改为1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
如所记录的:“当操作需要特权提升时,此选项会提示Consent Admin输入他或她的用户名和密码(或另一个有效的admin)。此操作在安全桌面上进行”
这将防止通过命令行对系统进行任何未经授权的修改。
但是,注册表编辑器本身不需要任何密码即可访问它,并且BadUSB攻击可能只是假设已经采取了上述保护措施,因此将密钥修改为默认值,4以便不需要密码即可访问具有管理员权限的命令行。
那么,是否有一种方法可以通过要求密码打开来保护注册表编辑器?
您可以修改文件的权限,C:\WINDOWS\System32\regedt32.exe以仅允许对不是当前用户的管理员或其他组执行权限。
伪造的USB键盘可能会通过GUI注册表编辑器以外的其他多种方式造成很大的损害,因为在Windows中,有很多方法可以完成所有操作。例如,那里有reg.exe命令行实用程序,那么您可能可以做很多事情,rundll32.exe这些事情是Windows组件和程序所使用的,您不能禁用它。
您应该通过限制系统对可移动设备的响应来解决此问题。我没有对其进行深入研究,但也许Microsoft Defender ATP可以提供帮助。理想情况下,您要授权一个USB键盘和鼠标,而拒绝其他任何键盘和鼠标。
如果您的系统具有旧式PS / 2端口并且不需要USB设备(您可能还希望禁用可移动驱动器和相机),这很简单,但对大多数用户来说却有些过头了,只需禁用USB端口或从设备管理器中禁用根集线器设备。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句