如何阻止 Windows 恢復環境被用作後門?
在 Windows 10 中,可以通過在引導過程中反复切斷電腦電源來啟動 Windows 恢復環境 (WinRE)。這允許對桌面電腦具有物理訪問權限的攻擊者獲得管理命令行訪問權限,此時他們可以查看和修改文件,使用各種 技術重置管理密碼等等。
(請注意,如果您直接啟動 WinRE,則必須先提供本地管理密碼,然後它才會授予您命令行訪問權限;如果您通過反復中斷啟動順序來啟動 WinRE,則不適用。Microsoft 已確認他們不認為這是是一個安全漏洞。)
在大多數情況下,這無關緊要,因為對機器具有不受限制的物理訪問權限的攻擊者通常可以重置 BIOS 密碼並通過從可移動媒體啟動來獲得管理訪問權限。然而,對於資訊亭機器、教學實驗室等,通常採取措施來限制物理訪問,例如通過掛鎖和/或警告機器。還必須嘗試阻止使用者訪問電源按鈕和牆上插座會非常不方便。監督(親自或通過監控攝像頭)可能更有效,但使用這種技術的人仍然遠不如試圖打開電腦機箱的人那麼明顯。
系統管理員如何防止WinRE被用作後門?
*附錄:*如果您使用的是 BitLocker,則您已經部分受到了這項技術的保護;攻擊者將無法讀取或修改加密驅動器上的文件。攻擊者仍然有可能擦除磁碟並安裝新的作業系統,或者使用更複雜的技術,例如韌體攻擊。(據我所知,韌體攻擊工具還沒有被臨時攻擊者廣泛使用,所以這可能不是一個直接的問題。)
您可以使用
reagentc禁用 WinRE:reagentc /disable以這種方式禁用 WinRE 時,啟動菜單仍然可用,但唯一可用的選項是啟動設置菜單,相當於舊的 F8 啟動選項。
如果您正在執行 Windows 10 的無人值守安裝,並希望在安裝過程中自動禁用 WinRE,請從安裝映像中刪除以下文件:
\windows\system32\recovery\winre.wim
winre.wimWinRE 基礎結構仍然存在(以後可以使用副本和命令行工具重新啟用reagentc),但將被禁用。請注意,
Microsoft-Windows-WinRE-RecoveryAgent設置在unattend.xmlWindows 10 中似乎沒有任何影響。(但是,這可能取決於您安裝的 Windows 10 版本;我只在版本 1607 的 LTSB 分支上對其進行了測試。)