No Windows 10, o Ambiente de Recuperação do Windows (WinRE) pode ser iniciado cortando repetidamente a energia do computador durante a sequência de inicialização. Isso permite que um invasor com acesso físico a uma máquina desktop obtenha acesso administrativo à linha de comando, ponto em que pode visualizar e modificar arquivos, redefinir a senha administrativa usando várias técnicas e assim por diante.
(Observe que, se você iniciar o WinRE diretamente, deverá fornecer uma senha administrativa local antes de conceder acesso à linha de comando; isso não se aplica se você iniciar o WinRE interrompendo repetidamente a sequência de inicialização. A Microsoft confirmou que não considera isso ser uma vulnerabilidade de segurança.)
Na maioria dos cenários, isso não importa, porque um invasor com acesso físico irrestrito à máquina geralmente pode redefinir a senha do BIOS e obter acesso administrativo inicializando a partir de uma mídia removível. No entanto, para máquinas de quiosque, em laboratórios de ensino e assim por diante, geralmente são tomadas medidas para restringir o acesso físico, por exemplo, cadeado e/ou alarme das máquinas. Seria muito inconveniente também tentar bloquear o acesso do usuário ao botão liga / desliga e à tomada da parede. A supervisão (pessoalmente ou por meio de câmeras de vigilância) pode ser mais eficaz, mas alguém usando essa técnica ainda seria muito menos óbvio do que, por exemplo, alguém tentando abrir o gabinete do computador.
Como o administrador do sistema pode impedir que o WinRE seja usado como backdoor?
Adendo: se você estiver usando o BitLocker, já está parcialmente protegido dessa técnica; o invasor não poderá ler ou modificar arquivos na unidade criptografada. Ainda seria possível para o invasor limpar o disco e instalar um novo sistema operacional ou usar uma técnica mais sofisticada, como um ataque de firmware. (Até onde eu sei, as ferramentas de ataque de firmware ainda não estão amplamente disponíveis para invasores casuais, então isso provavelmente não é uma preocupação imediata.)
Você pode usar
reagentcpara desativar o WinRE:Consulte a documentação da Microsoft para obter opções de linha de comando adicionais.
Quando o WinRE é desabilitado dessa forma, os menus de inicialização ainda estão disponíveis, mas a única opção disponível é o menu Startup Settings, equivalente às opções de inicialização F8 antigas.
Se você estiver realizando instalações autônomas do Windows 10 e quiser que o WinRE seja desabilitado automaticamente durante a instalação, exclua o seguinte arquivo da imagem de instalação:
A infraestrutura do WinRE ainda está em vigor (e pode ser reativada posteriormente usando uma cópia
winre.wime areagentcferramenta de linha de comando), mas será desativada.Observe que a
Microsoft-Windows-WinRE-RecoveryAgentconfiguração emunattend.xmlnão parece ter nenhum efeito no Windows 10. (No entanto, isso pode depender de qual versão do Windows 10 você está instalando; eu testei apenas na ramificação LTSB da versão 1607.)Use o BitLocker ou qualquer outra criptografia de disco rígido. É a única maneira confiável e verdadeiramente segura de alcançar o que você deseja.
Bit Locker também funciona no caso de alguém roubar seu disco rígido e usá-lo como unidade secundária em seu PC para que o PC inicialize com seu sistema operacional e disco rígido secundário como uma unidade apenas não requer nenhuma senha e se não estiver sendo protegido pelo BitLocker, qualquer um pode explorar facilmente seu conteúdo, por favor, tenha cuidado ao tentar isso, pois repetir esse comportamento causa séria corrupção de dados.
Sempre use criptografia para evitar esse tipo de problema. Leia isto para obter mais informações sobre criptografia de disco.
Criptografia de disco
execute o seguinte comando para desabilitar o Recovery Environment devido a falhas de desligamento (o que inclui puxar intencionalmente o cabo de alimentação):
bcdedit /set {current} bootstatuspolicy ignoreallfailures
Também adicione isto para desabilitar o Recovery Environment:
bcdedit /set {atual} recuperação habilitada não
ambos estão na seção Windows Boot Loader do armazenamento BCD.