Как я могу остановить использование среды восстановления Windows в качестве задней двери?

Question

Как я могу остановить использование среды восстановления Windows в качестве задней двери?

В Windows 10 среда восстановления Windows (WinRE) может быть запущена путем многократного отключения питания компьютера во время последовательности загрузки. Это позволяет злоумышленнику с физическим доступом к настольному компьютеру получить административный доступ к командной строке, после чего он может просматривать и изменять файлы, сбрасывать административный пароль, используя различные методы, и так далее.

(Обратите внимание, что если вы запускаете WinRE напрямую, вы должны предоставить локальный административный пароль, прежде чем он предоставит вам доступ к командной строке; это не применяется, если вы запускаете WinRE путем многократного прерывания последовательности загрузки. Microsoft подтвердила, что они не считают это быть уязвимостью в безопасности.)

В большинстве случаев это не имеет значения, поскольку злоумышленник с неограниченным физическим доступом к машине обычно может сбросить пароль BIOS и получить административный доступ, загрузившись со съемного носителя. Однако для киосковых машин, в учебных лабораториях и т. Д. Обычно принимаются меры по ограничению физического доступа, например, с помощью навесного замка и / или подачи сигналов тревоги на машины. Было бы очень неудобно также пытаться заблокировать доступ пользователя к кнопке питания и настенной розетке. Наблюдение (лично или с помощью камер наблюдения) может быть более эффективным, но тот, кто использует эту технику, все равно будет гораздо менее очевиден, чем, например, кто-то пытается открыть корпус компьютера.

Как системный администратор может предотвратить использование WinRE в качестве задней двери?

Приложение: если вы используете BitLocker, вы уже частично защищены от этой техники; злоумышленник не сможет читать или изменять файлы на зашифрованном диске. Для злоумышленника все еще будет возможность стереть диск и установить новую операционную систему или использовать более сложную технику, например, прошивку. (Насколько мне известно, инструменты для прошивки не всегда широко доступны случайным злоумышленникам, так что это, вероятно, не является непосредственной проблемой).

40

windows security windows-10 desktop-management

Источник

Harry Johnston 10 окт '17 в 00:53

4 ответа

Решение

Используйте BitLocker или любое другое шифрование жесткого диска. Это единственный надежный и действительно безопасный способ достичь того, чего вы хотите.

17

Источник

Swisstone 10 окт '17 в 05:03

Bit Locker также работает в случае, когда кто-то крадет ваш жесткий диск и использует его в качестве своего дополнительного диска в своем ПК, так что загрузка ПК с его ОС и дополнительного жесткого диска в качестве только диска не требует ввода пароля, и если он не используется Защищенный BitLocker, любой может легко изучить его содержимое. Пожалуйста, будьте осторожны, пытаясь это сделать, потому что повторение этого действия вызывает серьезное повреждение данных.

Всегда используйте шифрование для предотвращения подобных проблем. Пожалуйста, прочтите это для получения дополнительной информации о шифровании диска.

Шифрование диска

1

Источник

TAHA SULTAN TEMURI 10 окт '17 в 13:44

выполните следующую команду, чтобы отключить среду восстановления из-за сбоев при завершении работы (включая намеренное выдергивание шнура питания):

bcdedit /set {current} bootstatuspolicy ignoreallfailures

Также добавьте это, чтобы отключить среду восстановления:

bcdedit /set {current} RecoveryEnabled нет

оба находятся в разделе «Загрузчик Windows» в магазине BCD.

1

Источник

David Walker 09 авг '22 в 03:43

Другие вопросы по тегам windows security windows-10 desktop-management

Harry Johnston 10 окт '17 в 00:53 2017-10-10 00:53 · Accepted Answer · 2017-10-10 00:53

Ты можешь использовать reagentc отключить WinRE:

reagentc /disable

См. Документацию Microsoft для дополнительных параметров командной строки.

Когда WinRE отключен таким образом, меню запуска по-прежнему доступны, но единственная доступная опция - это меню "Параметры запуска", эквивалентное старым параметрам запуска F8.

Если вы выполняете автоматическую установку Windows 10 и хотите, чтобы WinRE автоматически отключался во время установки, удалите следующий файл из образа установки:

\windows\system32\recovery\winre.wim

Инфраструктура WinRE все еще на месте (и может быть повторно включена позже, используя копию winre.wim и reagentc инструмент командной строки), но будет отключен.

Обратите внимание, что Microsoft-Windows-WinRE-RecoveryAgent установка в unattend.xml похоже, не оказывает никакого влияния в Windows 10. (Однако это может зависеть от того, какую версию Windows 10 вы устанавливаете; я проверял ее только на ветви LTSB версии 1607).