如何停止Windows Recovery Environment用作后门？

在Windows 10中，可以通过在启动过程中反复切断计算机的电源来启动Windows恢复环境（WinRE）。这使具有对台式机的物理访问权限的攻击者可以获得管理的命令行访问权限，此时他们可以查看和修改文件，使用各种 技术来重置管理密码，等等。

（请注意，如果直接启动WinRE中，你必须提供一个本地管理密码，然后它会给你的命令行访问，这并不会。如果你启动WinRE中通过反复中断引导序列应用微软已经证实，他们不认为这是一个安全漏洞。）

在大多数情况下，这无关紧要，因为对计算机具有不受限制的物理访问的攻击者通常可以通过从可移动媒体启动来重置BIOS密码并获得管理访问权限。然而，对于售货亭机器，在教学实验室等中，通常采取措施以通过例如挂锁和/或警告机器来限制物理访问。必须尝试同时阻止用户访问电源按钮和墙上插座，将非常不便。监督（亲自监督或通过监视摄像机进行监督）可能会更有效，但使用此技术的人员仍远比例如尝试打开计算机机箱的人员明显。

系统管理员如何防止WinRE用作后门？

附录：如果您使用的是BitLocker，则已经部分保护您不受此技术的影响；攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统，或者使用更复杂的技术（例如固件攻击）。（据我所知，固件攻击工具尚未广泛提供给临时攻击者，因此这可能不是紧迫的问题。）

您可以reagentc用来禁用WinRE：

reagentc /disable

请参阅Microsoft文档以获取其他命令行选项。

当以这种方式禁用WinRE时，启动菜单仍然可用，但是唯一可用的选项是“启动设置”菜单，与旧的F8启动选项等效。

如果要执行Windows 10的无人值守安装，并希望在安装过程中自动禁用WinRE，请从安装映像中删除以下文件：

\windows\system32\recovery\winre.wim

WinRE基础结构仍然存在（以后可以使用winre.wim和reagentc命令行工具的副本重新启用），但是将被禁用。

请注意，其中的Microsoft-Windows-WinRE-RecoveryAgent设置在unattend.xmlWindows 10 中似乎没有任何作用。（但是，这可能取决于要安装的Windows 10版本；我仅在版本1607的LTSB分支上对其进行了测试。）

使用BitLocker或任何其他硬盘驱动器加密。这是实现所需目标的唯一可靠且真正安全的方法。

当有人偷走了您的硬盘并将其用作PC中的辅助驱动器时，Bit Locker也可以工作，这样PC便可以使用其操作系统和辅助硬盘作为驱动器启动，而无需任何密码，并且不需要密码。受BitLocker保护的任何人都可以轻松浏览其内容，请谨慎尝试，因为重复此行为会严重破坏数据。

始终使用加密来防止此类问题。请阅读有关磁盘加密的更多信息。

磁盘加密