3
如何停止Windows Recovery Environment用作后门?
在Windows 10中,可以通过在启动过程中反复切断计算机的电源来启动Windows恢复环境(WinRE)。这使具有对台式机的物理访问权限的攻击者可以获得管理的命令行访问权限,此时他们可以查看和修改文件,使用各种 技术来重置管理密码,等等。 (请注意,如果直接启动WinRE中,你必须提供一个本地管理密码,然后它会给你的命令行访问,这并不会。如果你启动WinRE中通过反复中断引导序列应用微软已经证实,他们不认为这是一个安全漏洞。) 在大多数情况下,这无关紧要,因为对计算机具有不受限制的物理访问的攻击者通常可以通过从可移动媒体启动来重置BIOS密码并获得管理访问权限。然而,对于售货亭机器,在教学实验室等中,通常采取措施以通过例如挂锁和/或警告机器来限制物理访问。必须尝试同时阻止用户访问电源按钮和墙上插座,将非常不便。监督(亲自监督或通过监视摄像机进行监督)可能会更有效,但使用此技术的人员仍远比例如尝试打开计算机机箱的人员明显。 系统管理员如何防止WinRE用作后门? 附录:如果您使用的是BitLocker,则已经部分保护您不受此技术的影响;攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术(例如固件攻击)。(据我所知,固件攻击工具尚未广泛提供给临时攻击者,因此这可能不是紧迫的问题。)