Come posso impedire che l'ambiente di ripristino di Windows venga utilizzato come backdoor?

39

In Windows 10, l'ambiente di ripristino di Windows (WinRE) può essere avviato tagliando ripetutamente l'alimentazione al computer durante la sequenza di avvio. Ciò consente a un utente malintenzionato con accesso fisico a una macchina desktop di ottenere l'accesso amministrativo dalla riga di comando, a quel punto può visualizzare e modificare i file, reimpostare la password amministrativa utilizzando varie tecniche e così via.

(Nota che se avvii WinRE direttamente, devi fornire una password amministrativa locale prima che ti dia accesso alla riga di comando; questo non si applica se avvii WinRE interrompendo ripetutamente la sequenza di avvio. Microsoft ha confermato che non lo considerano essere una vulnerabilità di sicurezza.)

Nella maggior parte degli scenari questo non ha importanza, perché un utente malintenzionato con accesso fisico illimitato alla macchina può in genere ripristinare la password del BIOS e ottenere l'accesso amministrativo eseguendo l'avvio da un supporto rimovibile. Tuttavia, per le macchine per chioschi, nei laboratori didattici e così via, di solito vengono prese misure per limitare l'accesso fisico, ad esempio, lucchettando e / o allarmando le macchine. Sarebbe molto scomodo dover anche provare a bloccare l'accesso dell'utente sia al pulsante di accensione che alla presa a muro. La supervisione (di persona o tramite telecamere di sorveglianza) potrebbe essere più efficace, ma qualcuno che utilizza questa tecnica sarebbe ancora molto meno ovvio di, ad esempio, qualcuno che tenta di aprire il case del computer.

In che modo l'amministratore di sistema può impedire a WinRE di essere utilizzato come backdoor?

Addendum: se stai usando BitLocker, sei già parzialmente protetto da questa tecnica; l'attaccante non sarà in grado di leggere o modificare i file sull'unità crittografata. Sarebbe comunque possibile per l'utente malintenzionato cancellare il disco e installare un nuovo sistema operativo o utilizzare una tecnica più sofisticata come un attacco del firmware. (Per quanto ne so, gli strumenti di attacco del firmware non sono ancora ampiamente disponibili per gli aggressori occasionali, quindi questa probabilmente non è una preoccupazione immediata.)

windows  security  windows-10  desktop-management 
Harry Johnston
fonte
1
Va inoltre notato che l'accesso fisico non è un requisito, se è necessario solo interrompere l'alimentazione ripetutamente durante l'avvio. Ciò potrebbe accadere anche per caso.
Alexander Kosubek,
1
A proposito, se un attaccante ha accesso fisico al tuo PC, ha quasi raggiunto il suo obiettivo.
glglgl,
@glglgl, aumenta notevolmente il rischio, ovviamente. Ma in questo caso d'uso, il potenziale attaccante è in genere qualcuno che deve avere accesso al computer, perché è quello che serve. Non possiamo eliminare tutti i rischi, ma ciò non significa che dovremmo rinunciare e ignorare quelli dove possiamo.
Harry Johnston,
Windows 10 WinRE non ti dà accesso al prompt dei comandi senza la password dell'amministratore. Nei suoi flussi, viene richiesto di selezionare uno degli account di amministrazione di Win10 e fornire la password per tale account. Solo quando la verifica viene superata, puoi accedere al prompt dei comandi e ad altre funzionalità come il ripristino del sistema.
videoguy
@videoguy, se si avvia WinRE ripetutamente interrompere la sequenza di avvio, che non consentono di accedere a un prompt dei comandi senza una password di amministratore. Non chiedermi perché. Funziona così. Questo è già stato menzionato nella domanda.
Harry Johnston,

Risposte:

37

È possibile utilizzare reagentcper disabilitare WinRE:

reagentc /disable

Consultare la documentazione Microsoft per ulteriori opzioni della riga di comando.

Quando WinRE è disabilitato in questo modo, i menu di avvio sono ancora disponibili, ma l'unica opzione disponibile è il menu Impostazioni di avvio, equivalente alle vecchie opzioni di avvio F8.

Se si eseguono installazioni automatiche di Windows 10 e si desidera che WinRE sia disabilitato automaticamente durante l'installazione, eliminare il seguente file dall'immagine di installazione:

\windows\system32\recovery\winre.wim

L'infrastruttura di WinRE è ancora in atto (e può essere riattivata in seguito utilizzando una copia di winre.wime lo reagentcstrumento da riga di comando) ma sarà disabilitata.

Si noti che l' Microsoft-Windows-WinRE-RecoveryAgentimpostazione in unattend.xmlnon sembra avere alcun effetto in Windows 10. (Tuttavia, ciò potrebbe dipendere dalla versione di Windows 10 che si sta installando; l'ho testato solo sul ramo LTSB della versione 1607.)

Harry Johnston
fonte
1
Suggerirei anche di aggiungere manualmente una voce di ripristino che non fa parte di recoverysequence. Ciò consentirà il ripristino senza (si spera?) L'avvio automatico.
Mehrdad,
C'è un motivo per cui WinRE è abilitato su Win10. Se il sistema non si avvia e si desidera riparare, gli strumenti di WinRE aiutano a farlo. Una volta che qualcuno ha accesso fisico, tutte le scommesse sono disattivate. Disabilitarlo non aiuta davvero in tal senso. Si può facilmente creare una chiavetta USB con WinRE e avviarla da essa e ora ha accesso all'intera unità C: \.
videoguy
@videoguy, ecco perché disabilitiamo l'avvio da USB nel BIOS e segnaliamo i casi in modo che gli utenti non possano reimpostare la password del BIOS. E ovviamente abbiamo gli strumenti di cui abbiamo bisogno per riparare il sistema senza bisogno di WinRE, o poiché si tratta di macchine kiosk, possiamo semplicemente reinstallare.
Harry Johnston,
16

Usa BitLocker o qualsiasi altra crittografia del disco rigido. È l'unico modo affidabile e veramente sicuro per ottenere ciò che desideri.

Swisstone
fonte
1
@HarryJohnston: non ho molta familiarità con Windows, ma un utente malintenzionato che ha accesso fisico al computer sarà sempre in grado di cancellare l'unità e reinstallare il sistema operativo?
Thomas Padron-McCarthy,
2
@ ThomasPadron-McCarthy, non se il BIOS è configurato correttamente e non riescono ad aprire il caso.
Harry Johnston,
11
"È l'unico modo affidabile e veramente sicuro" Questo afferma praticamente che l'altra risposta non è valida o dà un falso senso di sicurezza. Elaborare il motivo per cui trasformerebbe questa breve risposta in qualcosa di utile.
Albero
5
Questo. Se qualcuno che interrompe ripetutamente l'alimentazione per ottenere l'accesso è una preoccupazione, allora sicuramente lo è anche mettere il disco in un altro computer. Bitlocker (o software simile) è davvero l'unico modo per impedirlo. Nessuna credenziale digitata, nessun accesso al disco (non utile, accesso significativo comunque, puoi sicuramente sovrascrivere tutto, ma puoi anche distruggere il disco con un martello).
Damon,
4
@ poizan42 l'indirizzo OP questa altra preoccupazione altrove. Si occupano solo di WinRE ai fini di questa domanda .
Pureferret,
1

Bit Locker funziona anche nel caso in cui qualcuno rubi il tuo disco rigido e lo usi come unità secondaria nel suo PC in modo che l'avvio del PC con il suo sistema operativo e il disco rigido secondario come unità non richieda alcuna password e se non lo è protetto da BitLocker chiunque può facilmente esplorarne il contenuto, si prega di fare attenzione, perché ripetere questo comportamento causa una grave corruzione dei dati.

Utilizzare sempre la crittografia per prevenire questo tipo di problemi. Si prega di leggere questo per ulteriori informazioni sulla crittografia del disco.

Crittografia disco

TAHA SULTAN TEMURI
fonte
1
Di che diavolo stai parlando? Se si desidera montare un'unità bitlock come unità secondaria, è necessaria la chiave di ripristino. Se si fa qualcosa per sconvolgere il TPM nel computer host, è necessaria la chiave di ripristino. Se si avvia una copia del portale di Windows, sarà necessaria la chiave di ripristino.
Mark Henderson
2
@Mark, penso che tu abbia frainteso questa risposta; sta dicendo che se non usi BitLocker, un utente malintenzionato può rubare il disco rigido e accedere ai contenuti. D'altra parte, manca completamente il punto della domanda, che si riferisce ai computer che sono stati fisicamente protetti; se l'attaccante non riesce ad aprire il caso, non può rubare il disco rigido.
Harry Johnston,
Esattamente @Harry Johnstno, intendevo dire che la crittografia offre maggiore sicurezza.
TAHA SULTAN TEMURI,
@HarryJohnston Se un attaccante non riesce ad aprire il caso, non sta provando abbastanza. Un seghetto e un po 'di grasso per gomiti "apriranno" qualsiasi case del computer, per non parlare di utensili elettrici o di un vecchio "smash and grab". Per non dire che questo è un probabile rischio per il caso d'uso, ma "protezione fisica" è un termine relativo, e quasi mai così sicuro, in realtà .
HopelessN00b,
@ HopelessN00b, sì, si tratta di profili di rischio.
Harry Johnston,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.