Jak mogę zatrzymać środowisko odzyskiwania systemu Windows jako tylne drzwi?

W systemie Windows 10 środowisko odzyskiwania systemu Windows (WinRE) można uruchomić, wielokrotnie odcinając zasilanie komputera podczas sekwencji rozruchowej. Umożliwia to atakującemu z fizycznym dostępem do komputera stacjonarnego uzyskanie administracyjnego dostępu do wiersza poleceń, w którym to momencie mogą przeglądać i modyfikować pliki, resetować hasło administracyjne przy użyciu różnych technik i tak dalej.

(Pamiętaj, że jeśli uruchamiasz WinRE bezpośrednio, musisz podać lokalne hasło administracyjne, zanim zapewni ono dostęp do wiersza poleceń; nie dotyczy to uruchamiania WinRE przez ciągłe przerywanie sekwencji rozruchowej. Microsoft potwierdził, że nie uważa tego za stanowić lukę w zabezpieczeniach).

W większości scenariuszy nie ma to znaczenia, ponieważ osoba atakująca z nieograniczonym fizycznym dostępem do komputera może zwykle zresetować hasło systemu BIOS i uzyskać dostęp administracyjny poprzez uruchomienie z nośnika wymiennego. Jednak w przypadku urządzeń kioskowych, w laboratoriach dydaktycznych itp. Zwykle podejmuje się środki w celu ograniczenia fizycznego dostępu, np. Przez zamykanie kłódek i / lub alarmowanie maszyn. Byłoby bardzo niewygodne, aby spróbować zablokować dostęp użytkownika zarówno do przycisku zasilania, jak i do gniazdka ściennego. Nadzór (osobiście lub za pośrednictwem kamer monitorujących) może być bardziej skuteczny, ale ktoś korzystający z tej techniki byłby o wiele mniej oczywisty niż np. Ktoś próbujący otworzyć obudowę komputera.

W jaki sposób administrator systemu może zapobiec używaniu WinRE jako tylnych drzwi?

Dodatek: jeśli używasz funkcji BitLocker, jesteś już częściowo chroniony przed tą techniką; osoba atakująca nie będzie w stanie odczytać ani zmodyfikować plików na zaszyfrowanym dysku. Nadal będzie możliwe wyczyszczenie dysku i zainstalowanie nowego systemu operacyjnego lub użycie bardziej wyrafinowanej techniki, takiej jak atak oprogramowania układowego. (O ile mi wiadomo, narzędzia do atakowania oprogramowania układowego nie są jeszcze powszechnie dostępne dla zwykłych napastników, więc prawdopodobnie nie jest to natychmiastowy problem).

Możesz użyć reagentcdo wyłączenia WinRE:

reagentc /disable

Aby uzyskać dodatkowe opcje wiersza polecenia, zobacz dokumentację Microsoft .

Kiedy WinRE jest wyłączony w ten sposób, menu uruchamiania są nadal dostępne, ale jedyną dostępną opcją jest menu Ustawienia uruchamiania, równoważne starym opcjom uruchamiania F8.

Jeśli przeprowadzasz nienadzorowane instalacje systemu Windows 10 i chcesz, aby WinRE był automatycznie wyłączany podczas instalacji, usuń następujący plik z obrazu instalacyjnego:

\windows\system32\recovery\winre.wim

Infrastruktura WinRE jest nadal na miejscu (można ją później ponownie włączyć za pomocą narzędzia wiersza poleceń winre.wimi kopii reagentc), ale zostanie wyłączona.

Zauważ, że Microsoft-Windows-WinRE-RecoveryAgentustawienie w unattend.xmlnie wydaje się mieć żadnego wpływu na system Windows 10. (Może to jednak zależeć od instalowanej wersji systemu Windows 10; przetestowałem go tylko w gałęzi LTSB w wersji 1607.)

Użyj funkcji BitLocker lub innego szyfrowania dysku twardego. To jedyny niezawodny i naprawdę bezpieczny sposób na osiągnięcie tego, co chcesz.

Bit Locker działa również w przypadku, gdy ktoś kradnie twój dysk twardy i używa go jako drugiego dysku w komputerze osobistym, dzięki czemu komputer uruchamia się wraz z systemem operacyjnym i dodatkowym dyskiem twardym jako dyskiem, ale nie wymaga hasła i jeśli nie jest chroniony przez BitLocker każdy może łatwo przeglądać jego zawartość. Spróbuj tego ostrożnie, ponieważ powtarzanie tego zachowania powoduje poważne uszkodzenie danych.

Zawsze używaj szyfrowania, aby zapobiec tego rodzaju problemom. Przeczytaj to, aby uzyskać dodatkowe informacje na temat szyfrowania dysku.

Szyfrowanie dysku