Har*_*ton 40 security windows desktop-management windows-10
在 Windows 10 中,可以通过在启动过程中反复切断计算机电源来启动 Windows 恢复环境 (WinRE)。这允许具有桌面计算机物理访问权限的攻击者获得管理命令行访问权限,此时他们可以查看和修改文件,使用各种 技术重置管理密码,等等。
(请注意,如果直接启动WinRE中,你必须提供一个本地管理密码,然后它会给你的命令行访问,这并不会。如果你启动WinRE中通过反复中断引导序列应用微软已经证实,他们不认为这是一个安全漏洞。)
在大多数情况下,这并不重要,因为对机器具有不受限制的物理访问权限的攻击者通常可以通过从可移动媒体启动来重置 BIOS 密码并获得管理访问权限。然而,对于自助服务终端、教学实验室等,通常采取措施来限制物理访问,例如通过挂锁和/或警报机器。还必须尝试阻止用户访问电源按钮和墙壁插座,这将是非常不方便的。监督(亲自或通过监控摄像头)可能更有效,但使用这种技术的人仍然远不如试图打开计算机机箱的人那么明显。
系统管理员如何防止WinRE被用作后门?
附录:如果您使用的是 BitLocker,则您已经部分受到了这种技术的保护;攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术,例如固件攻击。(据我所知,固件攻击工具尚未广泛用于临时攻击者,因此这可能不是一个紧迫的问题。)
Har*_*ton 37
您可以使用reagentc禁用 WinRE:
reagentc /disable
有关其他命令行选项,请参阅 Microsoft 文档。
以这种方式禁用 WinRE 时,启动菜单仍然可用,但唯一可用的选项是启动设置菜单,相当于旧的 F8 启动选项。
如果您正在执行无人值守的 Windows 10 安装,并希望在安装过程中自动禁用 WinRE,请从安装映像中删除以下文件:
\windows\system32\recovery\winre.wim
WinRE 基础结构仍然存在(并且可以稍后使用winre.wim和reagentc命令行工具的副本重新启用),但将被禁用。
请注意,中的Microsoft-Windows-WinRE-RecoveryAgent设置在unattend.xmlWindows 10中似乎没有任何影响。(但是,这可能取决于您安装的 Windows 10 版本;我仅在 1607 版的 LTSB 分支上对其进行了测试。)
Swi*_*one 17
使用 BitLocker 或任何其他硬盘驱动器加密。这是实现您想要的唯一可靠且真正安全的方式。