В Windows 10 среду восстановления Windows (WinRE) можно запустить, многократно отключая питание компьютера во время загрузки. Это позволяет злоумышленнику с физическим доступом к настольному компьютеру получить административный доступ из командной строки, после чего он может просматривать и изменять файлы, сбрасывать административный пароль с помощью различный техники, и так далее.
(Обратите внимание, что если вы запускаете WinRE напрямую, вы должны предоставить локальный пароль администратора, прежде чем он предоставит вам доступ к командной строке; это не применяется, если вы запускаете WinRE, многократно прерывая последовательность загрузки. Microsoft подтвердила, что не считает это уязвимостью безопасности.)
В большинстве сценариев это не имеет значения, поскольку злоумышленник с неограниченным физическим доступом к машине обычно может сбросить пароль BIOS и получить административный доступ, загрузившись со съемного носителя. Однако для киосков, в учебных лабораториях и т. Д. Обычно принимаются меры по ограничению физического доступа, например, путем блокировки и / или сигнализации машин. Было бы очень неудобно пытаться заблокировать доступ пользователей как к кнопке питания, так и к розетке. Наблюдение (лично или с помощью камер наблюдения) может быть более эффективным, но кто-то, использующий эту технику, будет гораздо менее очевиден, чем, например, кто-то пытается открыть корпус компьютера.
Как системный администратор может предотвратить использование WinRE в качестве лазейки?
Дополнение: если вы используете BitLocker, вы уже частично защищены от этой техники; злоумышленник не сможет читать или изменять файлы на зашифрованном диске. Злоумышленник по-прежнему может стереть диск и установить новую операционную систему или использовать более изощренную технику, такую как атака микропрограмм. (Насколько мне известно, инструменты атаки микропрограмм еще не широко доступны для случайных злоумышленников, поэтому это, вероятно, не является непосредственной проблемой.)
Ты можешь использовать reagentc чтобы отключить WinRE:
reagentc /disable
См. Документацию Microsoft для дополнительных параметров командной строки.
Когда WinRE отключен таким образом, меню запуска по-прежнему доступны, но единственный доступный вариант - это меню параметров запуска, эквивалентное старым параметрам запуска F8.
Если вы выполняете автоматическую установку Windows 10 и хотите, чтобы WinRE автоматически отключался во время установки, удалите следующий файл из установочного образа:
\windows\system32\recovery\winre.wim
Инфраструктура WinRE все еще существует (и ее можно будет повторно включить позже, используя копию winre.wim и reagentc инструмент командной строки), но будет отключен.
Обратите внимание, что Microsoft-Windows-WinRE-RecoveryAgent установка в unattend.xml не оказывает никакого эффекта в Windows 10. (Однако это может зависеть от того, какую версию Windows 10 вы устанавливаете; я тестировал его только в ветви LTSB версии 1607.)
Используйте BitLocker или любое другое шифрование жесткого диска. Это единственный надежный и действительно безопасный способ добиться желаемого.
Bit Locker также работает в том случае, когда кто-то крадет ваш жесткий диск и использует его в качестве дополнительного диска на своем ПК, чтобы ПК загружался с его ОС, а дополнительный жесткий диск только как диск, он не требует пароля, и если он не Защищенный BitLocker, любой может легко изучить его содержимое. Будьте осторожны, пытаясь это сделать, потому что повторение этого поведения приводит к серьезному повреждению данных.
Всегда используйте шифрование, чтобы предотвратить подобные проблемы. Пожалуйста, прочтите это для получения дополнительной информации о шифровании диска.