如何停止Windows Recovery Environment用作后门?


39

在Windows 10中,可以通过在启动过程中反复切断计算机的电源来启动Windows恢复环境(WinRE)。这使具有对台式机的物理访问权限的攻击者可以获得管理的命令行访问权限,此时他们可以查看和修改文件,使用各种 技术来重置管理密码,等等。

(请注意,如果直接启动WinRE中,你必须提供一个本地管理密码,然后它会给你的命令行访问,这并不会。如果你启动WinRE中通过反复中断引导序列应用微软已经证实,他们不认为这是一个安全漏洞。)

在大多数情况下,这无关紧要,因为对计算机具有不受限制的物理访问的攻击者通常可以通过从可移动媒体启动来重置BIOS密码并获得管理访问权限。然而,对于售货亭机器,在教学实验室等中,通常采取措施以通过例如挂锁和/或警告机器来限制物理访问。必须尝试同时阻止用户访问电源按钮和墙上插座,将非常不便。监督(亲自监督或通过监视摄像机进行监督)可能会更有效,但使用此技术的人员仍远比例如尝试打开计算机机箱的人员明显。

系统管理员如何防止WinRE用作后门?


附录:如果您使用的是BitLocker,则已经部分保护您不受此技术的影响;攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术(例如固件攻击)。(据我所知,固件攻击工具尚未广泛提供给临时攻击者,因此这可能不是紧迫的问题。)


1
还应注意,如果仅需要在引导过程中多次断电,则物理访问不是必需的。那也可能偶然发生。
亚历山大·科苏贝克

1
顺便说一句,如果攻击者可以物理访问您的PC,则他几乎已达到目标。
glglgl

@glglgl,显然,它大大增加了风险。但是,在这种使用情况下,潜在的攻击者通常是谁的人已经能够访问计算机,因为这是它的存在了。我们无法消除所有风险,但这并不意味着我们应该放弃并忽略可能的风险。
哈里·约翰斯顿

Windows 10 WinRE不允许您在没有管理员密码的情况下访问命令提示符。在其流程中,系统提示您选择Win10的管理员帐户之一,并提供该帐户的密码。只有通过验证后,您才能访问命令提示符和其他功能,例如系统重置。
videoguy

@videoguy,如果你启动WinRE中通过反复中断引导序列,它不会给你访问命令提示符,没有管理员密码。不要问我为什么。这就是它的工作方式。问题中已经提到了这一点。
哈里·约翰斯顿

Answers:


37

您可以reagentc用来禁用WinRE:

reagentc /disable

请参阅Microsoft文档以获取其他命令行选项。

当以这种方式禁用WinRE时,启动菜单仍然可用,但是唯一可用的选项是“启动设置”菜单,与旧的F8启动选项等效。


如果要执行Windows 10的无人值守安装,并希望在安装过程中自动禁用WinRE,请从安装映像中删除以下文件:

\windows\system32\recovery\winre.wim

WinRE基础结构仍然存在(以后可以使用winre.wimreagentc命令行工具的副本重新启用),但是将被禁用。

请注意,其中的Microsoft-Windows-WinRE-RecoveryAgent设置在unattend.xmlWindows 10 中似乎没有任何作用。(但是,这可能取决于要安装的Windows 10版本;我仅在版本1607的LTSB分支上对其进行了测试。)


1
我建议您还手动添加一个不属于的恢复条目recoverysequence。这样可以进行恢复,而无需(希望?)自动启动。
Mehrdad

在Win10上启用WinRE是有原因的。如果您的系统无法启动,并且您想修复,WinRE工具会帮助您完成。一旦有人可以实际使用,所有赌注都将关闭。在这方面禁用它并没有真正的帮助。一个人可以用WinRE轻松创建USB记忆棒并从中启动,现在可以访问整个C:\驱动器。
videoguy

@videoguy,这就是为什么我们在BIOS中禁用从USB引导的原因,并警告这种情况,以便用户无法重置BIOS密码。当然,我们拥有不需要WinRE即可修复系统的工具,或者由于这些是自助服务终端机,我们只需重新安装即可。
哈里·约翰斯顿

16

使用BitLocker或任何其他硬盘驱动器加密。这是实现所需目标的唯一可靠且真正安全的方法。


1
@HarryJohnston:我对Windows不太熟悉,但是可以物理访问计算机的攻击者是否总是能够擦除驱动器并重新安装操作系统?
Thomas Padron-McCarthy

2
@ ThomasPadron-McCarthy,如果BIOS配置正确,并且无法打开机箱,则不是这样。
哈里·约翰斯顿

11
“这是唯一可靠且真正安全的方法”,这几乎说明了另一个答案是无效的,或者给出了错误的安全感。详细说明为什么会把这个简短的答案变成有用的东西。
桅杆

5
这个。如果有人反复切断电源以获取访问权限,那么将磁盘放入另一台计算机肯定也是。实际上,Bitlocker(或类似软件)是防止这种情况的唯一方法。没有输入凭据,也没有磁盘访问权限(无论如何无用,有意义的访问,您可以肯定会覆盖所有内容,但是您也可以始终用锤子砸碎磁盘)。
达蒙

4
@ poizan42 OP在其他地方解决了其他问题。他们只是出于这个问题的目的而关心WinRE 。
Pureferret

1

当有人偷走了您的硬盘并将其用作PC中的辅助驱动器时,Bit Locker也可以工作,这样PC便可以使用其操作系统和辅助硬盘作为驱动器启动,而无需任何密码,并且不需要密码。受BitLocker保护的任何人都可以轻松浏览其内容,请谨慎尝试,因为重复此行为会严重破坏数据。

始终使用加密来防止此类问题。请阅读有关磁盘加密的更多信息。

磁盘加密


1
你到底在说什么?如果要将位锁定的驱动器安装为辅助驱动器,则需要其恢复密钥。如果您采取任何措施破坏主机中的TPM,则需要其恢复密钥。如果从Windows的门户副本启动,则需要其恢复密钥。
马克·亨德森

2
@Mark,我认为您对这个答案有误解;这就是说,如果您使用BitLocker,则攻击者可以窃取硬盘驱动器并访问其中的内容。另一方面,它完全遗漏了问题的要点,它是指已经过物理保护的计算机。如果攻击者无法打开外壳,他们就无法窃取硬盘驱动器。
哈里·约翰斯顿

正是@Harry Johnstno,我的意思是说加密为您提供了更高的安全性。
塔哈·苏丹·特穆里

@HarryJohnston如果攻击者无法公开案件,则表示他没有足够努力。一把钢锯和一些肘部油脂会“打开”任何计算机机壳,更不用说电动工具或老式的“砸抢”机了。并不是说这可能是用例的风险,但实际上,“物理上安全”是一个相对的术语,实际上几乎从来没有那么安全
HopelessN00b

@ HopelessN00b,是的,这全都与风险状况有关。
哈里·约翰斯顿
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.