Jak mogę zatrzymać środowisko odzyskiwania systemu Windows jako tylne drzwi?

39

W systemie Windows 10 środowisko odzyskiwania systemu Windows (WinRE) można uruchomić, wielokrotnie odcinając zasilanie komputera podczas sekwencji rozruchowej. Umożliwia to atakującemu z fizycznym dostępem do komputera stacjonarnego uzyskanie administracyjnego dostępu do wiersza poleceń, w którym to momencie mogą przeglądać i modyfikować pliki, resetować hasło administracyjne przy użyciu różnych technik i tak dalej.

(Pamiętaj, że jeśli uruchamiasz WinRE bezpośrednio, musisz podać lokalne hasło administracyjne, zanim zapewni ono dostęp do wiersza poleceń; nie dotyczy to uruchamiania WinRE przez ciągłe przerywanie sekwencji rozruchowej. Microsoft potwierdził, że nie uważa tego za stanowić lukę w zabezpieczeniach).

W większości scenariuszy nie ma to znaczenia, ponieważ osoba atakująca z nieograniczonym fizycznym dostępem do komputera może zwykle zresetować hasło systemu BIOS i uzyskać dostęp administracyjny poprzez uruchomienie z nośnika wymiennego. Jednak w przypadku urządzeń kioskowych, w laboratoriach dydaktycznych itp. Zwykle podejmuje się środki w celu ograniczenia fizycznego dostępu, np. Przez zamykanie kłódek i / lub alarmowanie maszyn. Byłoby bardzo niewygodne, aby spróbować zablokować dostęp użytkownika zarówno do przycisku zasilania, jak i do gniazdka ściennego. Nadzór (osobiście lub za pośrednictwem kamer monitorujących) może być bardziej skuteczny, ale ktoś korzystający z tej techniki byłby o wiele mniej oczywisty niż np. Ktoś próbujący otworzyć obudowę komputera.

W jaki sposób administrator systemu może zapobiec używaniu WinRE jako tylnych drzwi?


Dodatek: jeśli używasz funkcji BitLocker, jesteś już częściowo chroniony przed tą techniką; osoba atakująca nie będzie w stanie odczytać ani zmodyfikować plików na zaszyfrowanym dysku. Nadal będzie możliwe wyczyszczenie dysku i zainstalowanie nowego systemu operacyjnego lub użycie bardziej wyrafinowanej techniki, takiej jak atak oprogramowania układowego. (O ile mi wiadomo, narzędzia do atakowania oprogramowania układowego nie są jeszcze powszechnie dostępne dla zwykłych napastników, więc prawdopodobnie nie jest to natychmiastowy problem).

Harry Johnston
źródło
1
Należy również zauważyć, że fizyczny dostęp nie jest wymagany, jeśli tylko powtarzające się awarie zasilania podczas rozruchu są konieczne. To też może się zdarzyć przypadkowo.
Alexander Kosubek
1
BTW, jeśli atakujący ma fizyczny dostęp do twojego komputera, prawie osiągnął swój cel.
glglgl
@glglgl, oczywiście znacznie zwiększa ryzyko. Ale w tym przypadku potencjalnym atakującym jest zazwyczaj ktoś, kto musi mieć dostęp do komputera, ponieważ po to jest. Nie możemy wyeliminować wszystkich zagrożeń, ale to nie znaczy, że powinniśmy się poddać i zignorować te, w których możemy.
Harry Johnston,
Windows 10 WinRE nie daje dostępu do wiersza poleceń bez hasła administratora. W jego przepływach pojawi się monit o wybranie jednego z kont administratora Win10 i podanie hasła do tego konta. Dopiero po przejściu weryfikacji można uzyskać dostęp do wiersza polecenia i innych funkcji, takich jak reset systemu.
wideo
@videoguy, jeśli uruchomić WinRE wielokrotnie przerywa sekwencję startową, to nie da Ci dostęp do wiersza poleceń bez hasła administratora. Nie pytaj mnie dlaczego. Tak to działa. Zostało to już wspomniane w pytaniu.
Harry Johnston,

Odpowiedzi:

37

Możesz użyć reagentcdo wyłączenia WinRE:

reagentc /disable

Aby uzyskać dodatkowe opcje wiersza polecenia, zobacz dokumentację Microsoft .

Kiedy WinRE jest wyłączony w ten sposób, menu uruchamiania są nadal dostępne, ale jedyną dostępną opcją jest menu Ustawienia uruchamiania, równoważne starym opcjom uruchamiania F8.


Jeśli przeprowadzasz nienadzorowane instalacje systemu Windows 10 i chcesz, aby WinRE był automatycznie wyłączany podczas instalacji, usuń następujący plik z obrazu instalacyjnego:

\windows\system32\recovery\winre.wim

Infrastruktura WinRE jest nadal na miejscu (można ją później ponownie włączyć za pomocą narzędzia wiersza poleceń winre.wimi kopii reagentc), ale zostanie wyłączona.

Zauważ, że Microsoft-Windows-WinRE-RecoveryAgentustawienie w unattend.xmlnie wydaje się mieć żadnego wpływu na system Windows 10. (Może to jednak zależeć od instalowanej wersji systemu Windows 10; przetestowałem go tylko w gałęzi LTSB w wersji 1607.)

Harry Johnston
źródło
1
Sugeruję również ręczne dodanie pozycji odzyskiwania, która nie jest częścią recoverysequence. Pozwoli to na odzyskanie bez (mam nadzieję?) Automatycznego uruchomienia.
Mehrdad,
Istnieje powód, dla którego WinRE jest włączony na Win10. Jeśli system nie uruchamia się i chcesz naprawić, narzędzia WinRE pomogą Ci to zrobić. Gdy ktoś ma fizyczny dostęp, wszystkie zakłady są wyłączone. Wyłączenie go tak naprawdę nie pomaga w tym względzie. Można łatwo utworzyć pamięć USB za pomocą WinRE i uruchomić z niej, a teraz ma dostęp do całego dysku C: \.
wideo
@videoguy, dlatego wyłączamy uruchamianie z USB w BIOS-ie i alarmujemy przypadki, aby użytkownicy nie mogli zresetować hasła BIOS-u. I oczywiście mamy narzędzia, których potrzebujemy do naprawy systemu bez potrzeby WinRE, lub ponieważ są to maszyny kioskowe, możemy po prostu zainstalować ponownie.
Harry Johnston,
16

Użyj funkcji BitLocker lub innego szyfrowania dysku twardego. To jedyny niezawodny i naprawdę bezpieczny sposób na osiągnięcie tego, co chcesz.

Swisstone
źródło
1
@HarryJohnston: Nie znam się dobrze na systemie Windows, ale czy osoba atakująca, która ma fizyczny dostęp do komputera, nie zawsze będzie w stanie wyczyścić dysk i ponownie zainstalować system operacyjny?
Thomas Padron-McCarthy,
2
@ ThomasPadron-McCarthy, nie jeśli BIOS jest odpowiednio skonfigurowany i nie mogą otworzyć skrzynki.
Harry Johnston,
11
„To jedyny niezawodny i naprawdę bezpieczny sposób”. W zasadzie stwierdza, że ​​druga odpowiedź jest albo nieprawidłowa, albo daje fałszywe poczucie bezpieczeństwa. Opracowanie, dlaczego tak jest, zamieniłoby tę krótką odpowiedź w coś pomocnego.
Maszt
5
To. Jeśli ktoś wielokrotnie odcina zasilanie, aby uzyskać dostęp, to problem, to z pewnością również umieszczenie dysku w innym komputerze. Bitlocker (lub podobne oprogramowanie) to naprawdę jedyny sposób, aby temu zapobiec. Brak wpisanych poświadczeń, brak dostępu do dysku (i tak nie jest użyteczny, znaczący dostęp, możesz na pewno nadpisać wszystko, ale zawsze możesz rozbić dysk młotkiem).
Damon,
4
@ poizan42 adres OP to inna troska gdzie indziej. Zajmują się tylko WinRE na potrzeby tego pytania .
Pureferret,
1

Bit Locker działa również w przypadku, gdy ktoś kradnie twój dysk twardy i używa go jako drugiego dysku w komputerze osobistym, dzięki czemu komputer uruchamia się wraz z systemem operacyjnym i dodatkowym dyskiem twardym jako dyskiem, ale nie wymaga hasła i jeśli nie jest chroniony przez BitLocker każdy może łatwo przeglądać jego zawartość. Spróbuj tego ostrożnie, ponieważ powtarzanie tego zachowania powoduje poważne uszkodzenie danych.

Zawsze używaj szyfrowania, aby zapobiec tego rodzaju problemom. Przeczytaj to, aby uzyskać dodatkowe informacje na temat szyfrowania dysku.

Szyfrowanie dysku

TAHA SULTAN TEMURI
źródło
1
O czym ty u licha mówisz? Jeśli chcesz zamontować dysk z blokowaniem bitów jako dysk dodatkowy, potrzebujesz jego klucza odzyskiwania. Jeśli zrobisz coś, co zdenerwuje moduł TPM na komputerze hosta, potrzebujesz jego klucza odzyskiwania. Jeśli uruchomisz kopię systemu Windows z portalu, będziesz potrzebować jej klucza odzyskiwania.
Mark Henderson
2
@ Mark, myślę, że źle zinterpretowałeś tę odpowiedź; mówi, że jeśli nie używasz funkcji BitLocker, osoba atakująca może ukraść dysk twardy i uzyskać dostęp do zawartości. Z drugiej strony całkowicie pomija sens pytania, które dotyczy komputerów, które zostały fizycznie zabezpieczone; jeśli atakujący nie może otworzyć skrzynki, nie może ukraść dysku twardego.
Harry Johnston,
Dokładnie @Harry Johnstno, chciałem powiedzieć, że szyfrowanie zapewnia większe bezpieczeństwo.
TAHA SULTAN TEMURI
@HarryJohnston Jeśli atakujący nie może otworzyć sprawy, nie stara się wystarczająco mocno. Piła do metalu i trochę smaru łokciowego „otworzą” każdą obudowę komputera, nie mówiąc już o elektronarzędziach ani staromodnym „rozbić i chwycić”. Nie wspominając o tym, że jest to prawdopodobne ryzyko użycia, ale „fizycznie zabezpieczony” jest w rzeczywistości pojęciem względnym i prawie nigdy nie jest tak bezpieczny .
HopelessN00b
@ HopelessN00b, tak, wszystko dotyczy profili ryzyka.
Harry Johnston,