Как я могу остановить использование среды восстановления Windows в качестве задней двери?

В Windows 10 среда восстановления Windows (WinRE) может быть запущена путем многократного отключения питания компьютера во время последовательности загрузки. Это позволяет злоумышленнику с физическим доступом к настольному компьютеру получить административный доступ к командной строке, после чего он может просматривать и изменять файлы, сбрасывать административный пароль, используя различные методы , и так далее.

(Обратите внимание, что если вы запускаете WinRE напрямую, вы должны предоставить локальный административный пароль, прежде чем он предоставит вам доступ к командной строке; это не применяется, если вы запускаете WinRE путем многократного прерывания последовательности загрузки. Microsoft подтвердила, что они не считают это быть уязвимостью в безопасности.)

В большинстве случаев это не имеет значения, поскольку злоумышленник с неограниченным физическим доступом к машине обычно может сбросить пароль BIOS и получить административный доступ, загрузившись со съемного носителя. Однако для киосковых машин, в учебных лабораториях и т. Д. Обычно принимаются меры по ограничению физического доступа, например, с помощью навесного замка и / или подачи сигналов тревоги на машины. Было бы очень неудобно также пытаться заблокировать доступ пользователя к кнопке питания и настенной розетке. Наблюдение (лично или с помощью камер наблюдения) может быть более эффективным, но тот, кто использует эту технику, все равно будет гораздо менее очевиден, чем, например, кто-то пытается открыть корпус компьютера.

Как системный администратор может предотвратить использование WinRE в качестве задней двери?

Приложение: если вы используете BitLocker, вы уже частично защищены от этой техники; злоумышленник не сможет читать или изменять файлы на зашифрованном диске. Для злоумышленника все еще будет возможность стереть диск и установить новую операционную систему или использовать более сложную технику, например, прошивку. (Насколько мне известно, инструменты для прошивки не всегда широко доступны случайным злоумышленникам, так что это, вероятно, не является непосредственной проблемой).

Вы можете использовать reagentcдля отключения WinRE:

reagentc /disable

См. Документацию Microsoft для дополнительных параметров командной строки.

Когда WinRE отключен таким образом, меню запуска по-прежнему доступны, но единственная доступная опция - это меню «Параметры запуска», эквивалентное старым параметрам запуска F8.

Если вы выполняете автоматическую установку Windows 10 и хотите, чтобы WinRE автоматически отключался во время установки, удалите следующий файл из образа установки:

\windows\system32\recovery\winre.wim

Инфраструктура WinRE все еще на месте (и ее можно будет снова включить позже с помощью копии winre.wimи reagentcинструмента командной строки), но она будет отключена.

Обратите внимание, что Microsoft-Windows-WinRE-RecoveryAgentпараметр in unattend.xmlне оказывает никакого влияния в Windows 10. (Однако это может зависеть от того, какую версию Windows 10 вы устанавливаете; я проверял ее только в ветке LTSB версии 1607).

Используйте BitLocker или любое другое шифрование жесткого диска. Это единственный надежный и действительно безопасный способ достичь того, чего вы хотите.

Bit Locker также работает в случае, когда кто-то крадет ваш жесткий диск и использует его в качестве своего дополнительного диска в своем ПК, так что загрузка ПК с его ОС и дополнительного жесткого диска в качестве только диска не требует ввода пароля, и если он не используется Защищенный BitLocker любой может легко изучить его содержимое. Пожалуйста, будьте осторожны, пытаясь это сделать, потому что повторение этого действия приводит к серьезному повреждению данных.

Всегда используйте шифрование для предотвращения подобных проблем. Пожалуйста, прочтите это для получения дополнительной информации о шифровании диска.

Шифрование диска