如何停止将Windows Recovery Environment用作后门?

Modified on: Sat, 17 Aug 2019 04:00:02 +0800

在Windows 10中,可以通过在引导顺序期间反复切断计算机电源来启动Windows恢复环境(WinRE)。这允许对桌面计算机具有物理访问权限的攻击者获得管理命令行访问权限,此时他们可以查看和修改文件,使用各种 技术,等等。

(请注意,如果直接启动WinRE,则必须提供本地管理密码才能进行命令行访问;如果通过反复中断引导顺序启动WinRE,则将适用。 Microsoft已确认他们不认为这是一个安全漏洞。)

在大多数情况下,这无关紧要,因为对机器具有不受限制的物理访问权限的攻击者通常可以通过从可移动媒体启动来重置BIOS密码并获得管理访问权限。然而,对于自助服务终端机,教学实验室等,通常采取措施来限制物理访问,例如通过挂锁和/或警告机器。如果还试图阻止用户访问电源按钮和墙上插座,那将是非常不方便的。监督(亲自或通过监视摄像机)可能更有效,但使用这种技术的人仍然远没有例如试图打开计算机机箱的人那么明显。

系统管理员如何防止WinRE被用作后门?


附录:如果您使用的是BitLocker,那么您已经部分受到此技术的保护;攻击者无法读取或修改加密驱动器上的文件。攻击者仍然可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术,例如固件攻击。 (据我所知,固件攻击工具尚未被临时攻击者广泛使用,因此这可能不是一个直接关注的问题。)

最佳答案

您可以使用reagentc来禁用WinRE:

reagentc /disable

查看Microsoft文档用于其他命令行选项。

以这种方式禁用WinRE时,启动菜单仍然可用,但唯一可用的选项是“启动设置”菜单,相当于旧的F8启动选项。


如果您正在执行无人参与的Windows 10安装,并希望在安装过程中自动禁用WinRE,请从安装映像中删除以下文件:

\windows\system32\recovery\winre.wim

WinRE基础架构仍然存在(以后可以使用winre.wimreagentc命令行工具的副本重新启用)但是将被禁用

请注意,Microsoft-Windows-WinRE-RecoveryAgent中的unattend.xml设置在Windows 10中似乎没有任何影响。(但是,这可能取决于您正在安装哪个版本的Windows 10;我只在1607版的LTSB分支上进行了测试。)


相关问答

添加新评论