在 Windows 10 中,可以通过在启动过程中反复切断计算机电源来启动 Windows 恢复环境 (WinRE)。这样,具有台式机物理访问权限的攻击者便可获得管理命令行访问权限,此时他们可以查看和修改文件,使用以下命令重置管理密码:各种各样的 技术, 等等。
(请注意,如果直接启动 WinRE,则必须提供本地管理密码,然后它才会授予您命令行访问权限;这不是如果您通过反复中断启动序列来启动 WinRE,则适用。Microsoft 已确认他们不认为这是一个安全漏洞。
在大多数情况下,这并不重要,因为对机器具有不受限制的物理访问权限的攻击者通常可以重置 BIOS 密码并通过从可移动媒体启动来获得管理访问权限。但是,对于自助服务终端机器、教学实验室等,通常会采取措施限制物理访问,例如,通过挂锁和/或警报机器。如果还必须尝试阻止用户访问电源按钮和墙上插座,那就非常不方便了。监督(亲自或通过监控摄像头)可能更有效,但使用这种技术的人仍然比试图打开计算机机箱的人更不明显。
系统管理员如何防止 WinRE 被用作后门?
附录:如果您使用 BitLocker,那么您已经部分地受到此技术的保护;攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术,例如固件攻击。(据我所知,固件攻击工具尚未广泛提供给普通攻击者,因此这可能不是当前需要关注的问题。)
答案1
您可以使用reagentc以下方法禁用 WinRE:
reagentc /disable
请参阅 Microsoft 文档获取更多命令行选项。
当以这种方式禁用 WinRE 时,启动菜单仍然可用,但唯一可用的选项是启动设置菜单,相当于旧的 F8 启动选项。
如果您正在执行 Windows 10 的无人参与安装,并且希望在安装过程中自动禁用 WinRE,请从安装映像中删除以下文件:
\windows\system32\recovery\winre.wim
WinRE 基础架构仍然存在(并且可以稍后使用副本winre.wim和reagentc命令行工具重新启用)但将被禁用。
请注意,该Microsoft-Windows-WinRE-RecoveryAgent设置unattend.xml在 Windows 10 中似乎没有任何效果。 (但是,这可能取决于您安装的 Windows 10 版本;我只在版本 1607 的 LTSB 分支上进行了测试。)
答案2
使用 BitLocker 或任何其他硬盘加密。这是实现目标的唯一可靠且真正安全的方法。
答案3
Bit Locker 还可在有人窃取您的硬盘并将其用作其 PC 上的辅助驱动器的情况下发挥作用,这样 PC 就可以以其操作系统和辅助硬盘作为驱动器启动,而无需任何密码,并且如果它未受到 BitLocker 的保护,任何人都可以轻松浏览其内容,请小心尝试此操作,因为重复此行为会导致严重的数据损坏。
始终使用加密来防止此类问题。请阅读此内容以获取有关磁盘加密的更多信息。
答案4
运行以下命令,禁用因关机失败(包括故意拉扯电源线)而导致的恢复环境:
bcdedit /set {当前} 启动状态策略 ignoreallfailures
还可以添加此项以禁用恢复环境:
bcdedit /set {当前} recoveryenabled 否
两者都位于 BCD 存储的 Windows Boot Loader 部分下。