在 Windows 10 中,可以通过在引导过程中反复切断计算机电源来启动 Windows 恢复环境 (WinRE)。这允许对桌面计算机具有物理访问权限的攻击者获得管理命令行访问权限,此时他们可以查看和修改文件,使用各种 技术重置管理密码等。
(请注意,如果您直接启动 WinRE,则必须先提供本地管理密码,然后它才能为您提供命令行访问权限;如果您通过反复中断启动顺序来启动 WinRE,则不适用。Microsoft 已确认他们不认为这是是一个安全漏洞。)
在大多数情况下,这无关紧要,因为对机器具有不受限制的物理访问权限的攻击者通常可以重置 BIOS 密码并通过从可移动媒体启动来获得管理访问权限。然而,对于信息亭机器、教学实验室等,通常采取措施来限制物理访问,例如通过挂锁和/或警告机器。还必须尝试阻止用户访问电源按钮和墙上插座会非常不方便。监督(亲自或通过监控摄像头)可能更有效,但使用这种技术的人仍然远不如试图打开计算机机箱的人那么明显。
系统管理员如何防止WinRE被用作后门?
附录:如果您使用的是 BitLocker,则您已经部分受到了这项技术的保护;攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术,例如固件攻击。(据我所知,固件攻击工具还没有被临时攻击者广泛使用,所以这可能不是一个直接的问题。)
您可以使用
reagentc禁用 WinRE:有关其他命令行选项,请参阅 Microsoft 文档。
以这种方式禁用 WinRE 时,启动菜单仍然可用,但唯一可用的选项是启动设置菜单,相当于旧的 F8 启动选项。
如果您正在执行 Windows 10 的无人值守安装,并希望在安装过程中自动禁用 WinRE,请从安装映像中删除以下文件:
winre.wimWinRE 基础结构仍然存在(以后可以使用副本和命令行工具重新启用reagentc),但将被禁用。请注意,
Microsoft-Windows-WinRE-RecoveryAgent设置在unattend.xmlWindows 10 中似乎没有任何影响。(但是,这可能取决于您安装的 Windows 10 版本;我只在版本 1607 的 LTSB 分支上对其进行了测试。)使用 BitLocker 或任何其他硬盘驱动器加密。这是实现您想要的唯一可靠且真正安全的方式。
Bit Locker 也适用于有人窃取您的硬盘并将其用作他的 PC 中的辅助驱动器的情况,以便 PC 使用他的操作系统和辅助硬盘驱动器作为驱动器启动,它不需要任何密码,如果它不是受 BitLocker 保护,任何人都可以轻松浏览其内容,请谨慎尝试,因为重复此行为会导致数据严重损坏。
始终使用加密来防止此类问题。有关磁盘加密的更多信息,请阅读此内容。
磁盘加密
由于关机失败(包括故意拉扯电源线),运行以下命令以禁用恢复环境:
bcdedit /set {当前} bootstatuspolicy ignoreallfailures
还要添加这个来禁用恢复环境:
bcdedit /set {current} recoveryenabled 否
两者都在 BCD 存储的 Windows 引导加载程序部分下。