Làm cách nào tôi có thể ngăn Windows Recovery Môi trường được sử dụng làm cửa sau?

Trong Windows 10, Môi trường phục hồi Windows (WinRE) có thể được khởi chạy bằng cách liên tục cắt nguồn cho máy tính trong chuỗi khởi động. Điều này cho phép kẻ tấn công có quyền truy cập vật lý vào máy tính để bàn để có quyền truy cập dòng lệnh quản trị, tại đó chúng có thể xem và sửa đổi tệp, đặt lại mật khẩu quản trị bằng nhiều kỹ thuật khác , v.v.

(Lưu ý rằng nếu bạn khởi chạy WinRE trực tiếp, bạn phải cung cấp mật khẩu quản trị cục bộ trước khi nó cung cấp cho bạn quyền truy cập dòng lệnh; điều này không áp dụng nếu bạn khởi chạy WinRE bằng cách liên tục làm gián đoạn trình tự khởi động. Microsoft đã xác nhận rằng họ không xem xét điều này để là một lỗ hổng bảo mật.)

Trong hầu hết các trường hợp, điều này không thành vấn đề, bởi vì kẻ tấn công có quyền truy cập vật lý không hạn chế vào máy thường có thể đặt lại mật khẩu BIOS và có quyền truy cập quản trị bằng cách khởi động từ phương tiện lưu động. Tuy nhiên, đối với máy kiosk, trong phòng thí nghiệm giảng dạy, v.v., các biện pháp thường được thực hiện để hạn chế truy cập vật lý bằng cách, ví dụ, khóa và / hoặc báo động cho máy. Sẽ rất bất tiện khi cũng phải cố gắng chặn quyền truy cập của người dùng vào cả nút nguồn và ổ cắm trên tường. Giám sát (trực tiếp hoặc qua camera giám sát) có thể hiệu quả hơn, nhưng ai đó sử dụng kỹ thuật này vẫn còn ít rõ ràng hơn, ví dụ, một người nào đó cố gắng mở vỏ máy tính.

Làm thế nào quản trị viên hệ thống có thể ngăn WinRE được sử dụng làm cửa sau?

Phụ lục: nếu bạn đang sử dụng BitLocker, bạn đã được bảo vệ một phần khỏi kỹ thuật này; Kẻ tấn công sẽ không thể đọc hoặc sửa đổi các tệp trên ổ đĩa được mã hóa. Kẻ tấn công vẫn có thể xóa sạch đĩa và cài đặt hệ điều hành mới hoặc sử dụng một kỹ thuật phức tạp hơn như tấn công phần sụn. (Theo như tôi biết, các công cụ tấn công phần sụn chưa được phổ biến rộng rãi cho những kẻ tấn công thông thường, vì vậy đây có lẽ không phải là mối quan tâm ngay lập tức.)

Bạn có thể sử dụng reagentcđể tắt WinRE:

reagentc /disable

Xem tài liệu Microsoft để biết thêm các tùy chọn dòng lệnh.

Khi WinRE bị vô hiệu hóa theo cách này, các menu khởi động vẫn khả dụng, nhưng tùy chọn duy nhất khả dụng là menu Cài đặt khởi động, tương đương với các tùy chọn khởi động F8 cũ.

Nếu bạn đang tiến hành cài đặt Windows 10 không giám sát và muốn WinRE tự động bị tắt trong khi cài đặt, hãy xóa tệp sau khỏi hình ảnh cài đặt:

\windows\system32\recovery\winre.wim

Cơ sở hạ tầng WinRE vẫn còn (và có thể được kích hoạt lại sau bằng cách sử dụng bản sao winre.wimvà reagentccông cụ dòng lệnh) nhưng sẽ bị vô hiệu hóa.

Lưu ý rằng Microsoft-Windows-WinRE-RecoveryAgentcài đặt trong unattend.xmldường như không có bất kỳ ảnh hưởng nào trong Windows 10. (Tuy nhiên, điều này có thể phụ thuộc vào phiên bản Windows 10 bạn đang cài đặt; Tôi chỉ thử nghiệm nó trên nhánh LTSB của phiên bản 1607.)

Sử dụng BitLocker hoặc bất kỳ mã hóa ổ cứng nào khác. Đó là cách duy nhất đáng tin cậy và thực sự an toàn để đạt được những gì bạn muốn.

Bit Locker cũng hoạt động trong trường hợp khi ai đó đánh cắp ổ cứng của bạn và sử dụng nó làm ổ đĩa thứ cấp trong Pc để Pc khởi động với HĐH và ổ cứng thứ cấp của nó như một ổ đĩa, nó không yêu cầu bất kỳ mật khẩu nào và nếu không phải là mật khẩu được bảo vệ bởi BitLocker, bất kỳ ai cũng có thể dễ dàng khám phá nội dung của nó, Xin hãy cẩn thận thử điều này vì việc lặp lại hành vi này gây ra sự hỏng hóc nghiêm trọng của dữ liệu.

Luôn luôn sử dụng mã hóa để ngăn chặn loại vấn đề này. Vui lòng đọc phần này để biết thêm thông tin về mã hóa đĩa.

Mã hóa đĩa