在Windows 10中,Windows恢复环境(WinRE)可以通过在引导过程中反复切断电脑的电源来启动。 这使攻击者可以通过物理访问桌面计算机来获得pipe理命令行访问权限,此时他们可以查看和修改文件,使用各种 技术重置pipe理密码等等。
(请注意,如果直接启动WinRE,则必须先提供本地pipe理密码,然后才能向您提供命令行访问权限;如果通过反复中断引导顺序来启动WinRE,则这不适用,Microsoft已确认它们不认为这是是一个安全漏洞。)
在大多数情况下,这并不重要,因为攻击者无限制地访问计算机,通常可以重置BIOS密码,并通过从可移动媒体启动获得pipe理访问权限。 然而,对于自助terminal机,教学实验室等,通常采取措施通过例如挂锁和/或警告机器来限制物理访问。 不得不阻止用户访问电源button和墙上sockets,这是非常不方便的。 监督(无论是亲自或通过监视摄像机)可能会更有效,但使用这种技术的人还是会比例如试图打开计算机机箱的人更不明显。
系统pipe理员如何防止WinRE被用作后门?
附录:如果您正在使用BitLocker,则已经部分保护您免受此技术的影响; 攻击者将无法读取或修改encryption驱动器上的文件。 攻击者仍然可以擦除磁盘并安装新的操作系统,或使用更复杂的技术,如固件攻击。 (据我所知,固件攻击工具还没有广泛提供给偶然的攻击者,所以这可能不是一个直接的问题。)
您可以使用reagentc来禁用WinRE:
reagentc /disable
有关其他命令行选项, 请参阅Microsoft文档 。
当以这种方式禁用WinRE时,启动菜单仍然可用,但唯一可用的选项是“启动设置”菜单,相当于旧的F8启动选项。
如果您正在执行Windows 10的无人参与安装,并且希望在安装过程中自动禁用WinRE,请从安装映像中删除以下文件:
\windows\system32\recovery\winre.wim
WinRE基础架构仍然存在(并且可以稍后使用winre.wim和reagentc命令行工具的副本重新启用),但将被禁用。
请注意, unattend.xml中的Microsoft-Windows-WinRE-RecoveryAgent设置在Windows 10中似乎没有任何作用。(但是,这可能取决于您正在安装的Windows 10的版本;我只在LTSB上进行过testing版本1607的分支。)
使用BitLocker或任何其他硬盘驱动器encryption。 这是实现你想要的唯一可靠和真正安全的方法。
Bit Locker也适用于有人盗取你的硬盘驱动器,并将其作为他的电脑中的次要驱动器,以便他的操作系统和辅助硬盘驱动器作为驱动器的PC启动只有它不需要任何密码,如果它不是受BitLocker保护任何人都可以轻松探索其内容,请小心尝试,因为重复此行为会导致严重的数据损坏。
总是使用encryption来防止这种问题。 请阅读这个关于磁盘encryption的更多信息。
磁盘encryption