Як я можу зупинити використання середовища відновлення Windows як задню двері?

У Windows 10 середовище відновлення Windows (WinRE) можна запустити шляхом багаторазового відключення живлення комп'ютера під час завантаження. Це дозволяє зловмиснику з фізичним доступом до настільної машини отримати доступ до адміністративного командного рядка, і в цей момент вони можуть переглядати та змінювати файли, скидати пароль адміністратора за допомогою різних методик тощо.

(Зверніть увагу, що якщо ви запускаєте WinRE безпосередньо, ви повинні надати локальний пароль адміністратора, перш ніж він надасть вам доступ до командного рядка; це не застосовується, якщо ви запускаєте WinRE, повторно перериваючи послідовність завантаження. Microsoft підтвердили, що вони не вважають це за бути вразливою до безпеки.)

У більшості сценаріїв це не має значення, тому що зловмисник з необмеженим фізичним доступом до машини зазвичай може скинути пароль BIOS і отримати адміністративний доступ, завантажившись зі знімних носіїв. Однак для машин з кіосками, у навчальних лабораторіях тощо застосовуються заходи для обмеження фізичного доступу, наприклад, замикання на замок та / або тривогу машин. Було б дуже незручно також намагатися блокувати доступ користувача як до кнопки живлення, так і до розетки. Контроль (особисто чи через камери спостереження) може бути більш ефективним, але хтось, хто використовує цю методику, все ще буде набагато менш очевидним, ніж, наприклад, хтось намагається відкрити корпус комп'ютера.

Як системний адміністратор може запобігти використанню WinRE як задньої двері?

Додаток: якщо ви використовуєте BitLocker, ви вже частково захищені від цієї техніки; зловмисник не зможе читати чи змінювати файли на зашифрованому диску. Зловмисникові все одно можна буде витерти диск і встановити нову операційну систему або використовувати більш досконалу техніку, таку як атака прошивки. (Наскільки я знаю, інструменти для нападу на прошивку ще не доступні для випадкових зловмисників, тому це, мабуть, не викликає негайних проблем.)

Ви можете reagentcвідключити WinRE:

reagentc /disable

Додаткові параметри командного рядка див. У документації Microsoft .

Якщо WinRE відключено таким чином, меню запуску все ще доступне, але єдиний доступний варіант - це меню «Налаштування запуску», еквівалентне старим параметрам запуску F8.

Якщо ви проводите без нагляду інсталяції Windows 10 і хочете, щоб WinRE автоматично був відключений під час встановлення, видаліть такий файл із зображення встановлення:

\windows\system32\recovery\winre.wim

Інфраструктура WinRE все ще діє (і її можна буде знову ввімкнути пізніше за допомогою копії winre.wimта інструменту reagentcкомандного рядка), але вона буде відключена.

Зауважте, що Microsoft-Windows-WinRE-RecoveryAgentналаштування в Інтернеті unattend.xmlне має жодного ефекту в Windows 10. (Однак це може залежати від того, яку версію Windows 10 ви встановлюєте; я протестував її лише у відділенні LTSB версії 1607.)

Використовуйте BitLocker або будь-яке інше шифрування жорсткого диска. Це єдиний надійний і справді безпечний спосіб досягти того, що ви хочете.

Біт Locker також працює в тому випадку, коли хтось вкраде ваш жорсткий диск і використовувати це як його вторинний диск на своєму ПК, щоб Pc завантажувався з його ОС і вторинним жорстким диском як привід, тільки він не вимагає пароля, і якщо його немає захищений BitLocker, будь-хто може легко вивчити його вміст. Будьте уважні, намагаючись це зробити, оскільки повторення такої поведінки спричинить серйозну пошкодження даних.

Завжди використовуйте шифрування для запобігання подібних проблем. Будь ласка, прочитайте це для отримання додаткової інформації про шифрування диска.

Шифрування диска