Windows Kurtarma Ortamı'nın arka kapı olarak kullanılmasını nasıl durdurabilirim?

39

Windows 10'da, Windows Kurtarma Ortamı (WinRE), önyükleme sırası sırasında bilgisayara sürekli olarak güç kesilerek başlatılabilir. Bu, bir masaüstü makineye fiziksel erişimi olan bir saldırganın yönetim komut satırı erişimi kazanmasını sağlar; bu noktada hangi dosyaları görüntüleyebilir ve değiştirebilir, çeşitli teknikleri kullanarak yönetim şifresini sıfırlayabilir vb.

(WinRE'yi doğrudan başlatırsanız, komut satırı erişimini vermeden önce yerel bir yönetici şifresi sağlamanız gerektiğini unutmayın; bu, WinRE'yi önyükleme sırasını sürekli olarak keserek başlatırsanız geçerli olmaz . Microsoft, bunu kabul etmediklerini onaylamıştır bir güvenlik açığı olabilir.)

Çoğu senaryoda bu önemli değildir, çünkü makineye sınırsız fiziksel erişimi olan bir saldırgan, genellikle BIOS şifresini sıfırlayabilir ve çıkarılabilir medyadan önyükleyerek idari erişim kazanabilir. Bununla birlikte, kiosk makineleri için, laboratuvarların öğretilmesinde ve benzerlerinde, örneğin makinelerin asma kilitlenmesi ve / veya alarm verilmesiyle fiziksel erişimi kısıtlamak için genellikle önlemler alınır. Hem güç düğmesine hem de duvar prizine kullanıcı erişimini engellemeye çalışmak zorunda kalmak çok zahmetli olacaktır. Denetleme (şahsen veya güvenlik kameraları aracılığıyla) daha etkili olabilir, ancak bu tekniği kullanan biri, örneğin bilgisayar kasasını açmaya çalışan birinden çok daha az belirgin olacaktır.

Sistem yöneticisi WinRE'nin arka kapı olarak kullanılmasını nasıl önleyebilir?

Ek: BitLocker kullanıyorsanız, zaten bu teknikten kısmen korunuyorsunuz; saldırgan şifreli sürücüdeki dosyaları okuyamaz veya değiştiremez. Saldırganın diski silip yeni bir işletim sistemi kurması veya ürün yazılımı saldırısı gibi daha karmaşık bir teknik kullanması yine de mümkün olabilir. (Firmware saldırı araçlarının sıradan saldırganlar tarafından henüz yaygın olarak kullanılmadığını bildiğim kadarıyla, bu muhtemelen acil bir sorun değil.)

windows  security  windows-10  desktop-management 
Harry Johnston
kaynak
1
Ayrıca, önyükleme sırasında sadece arka arkaya güç kesilmesi gerektiğinde, fiziksel erişimin bir gereklilik olmadığı belirtilmelidir. Bu da kazara olabilir.
Alexander Kosubek
1
BTW, bir saldırganın PC'nize fiziksel olarak erişimi varsa, neredeyse hedefine ulaştı.
glglgl
@glglgl, açıkça riski büyük ölçüde artırıyor. Ancak bu kullanım durumunda, potansiyel saldırgan birisi genellikle vardır o orada olan budur çünkü bilgisayara erişmesini. Tüm riskleri ortadan kaldıramayız, ancak bu pes edebileceğimiz ve bırakabileceğimiz riskleri görmezden gelmemiz gerektiği anlamına gelmez.
Harry Johnston
Windows 10 WinRE, yönetici şifresi olmadan komut istemine erişmenizi sağlamaz. Akışında, Win10'un yönetici hesaplarından birini seçmeniz ve bu hesap için şifre sağlamanız istenir. Yalnızca bu doğrulama başarılı olduğunda, komut istemine ve sistem sıfırlama gibi diğer özelliklere erişirsiniz.
videoguy
Tekrar tekrar önyükleme sırasını keserek WinRE başlatmak eğer @videoguy, bu mu Bir yönetici şifresi olmadan istemi bir komuta erişim sağlar. Bana nedenini sorma. Sadece bu şekilde çalışır. Bu zaten soruda dile getirildi.
Harry Johnston,

Yanıtlar:

37

reagentcWinRE'yi devre dışı bırakmak için kullanabilirsiniz :

reagentc /disable

Ek komut satırı seçenekleri için Microsoft belgelerine bakın .

WinRE bu şekilde devre dışı bırakıldığında, başlangıç ​​menüleri hala kullanılabilir durumdadır, ancak kullanılabilir olan tek seçenek eski F8 başlangıç ​​seçeneklerine eşdeğer Başlangıç ​​Ayarları menüsüdür.

Windows 10'un katılımsız yüklemelerini yapıyorsanız ve yükleme sırasında WinRE'nin otomatik olarak devre dışı bırakılmasını istiyorsanız, aşağıdaki dosyayı yükleme görüntüsünden silin:

\windows\system32\recovery\winre.wim

WinRE altyapısı hala yerinde (ve bir kopyası winre.wimve reagentckomut satırı aracı kullanılarak yeniden etkinleştirilebilir ) ancak devre dışı bırakılacak.

Bu Microsoft-Windows-WinRE-RecoveryAgentayarın unattend.xmlWindows 10'da herhangi bir etkisi görünmediğini unutmayın . (Ancak, bu Windows 10'un hangi sürümünü yüklediğinize bağlı olabilir; yalnızca 1607 sürümünün LTSB şubesinde denedim.)

Harry Johnston
kaynak
1
Ayrıca, bir parçası olmayan bir kurtarma girişi el ile eklemenizi öneririm recoverysequence. Bu otomatik olarak başlatılmadan (umarım?) Kurtarmaya izin verir.
Mehrdad
WinRE'nin Win10'da etkinleştirilmesinin bir nedeni var. Sisteminiz önyükleme yapamıyorsa ve onarmak istiyorsanız, WinRE araçları bunu yapmanıza yardımcı olur. Birisi fiziksel erişime sahip olduğunda, tüm bahisler kapalıdır. Devre dışı bırakmak, bu konuda gerçekten yardımcı olmuyor. Biri WinRE ile kolayca USB bellek oluşturabilir ve önyükleyebilir ve şimdi tüm C: \ sürücüsüne erişebilir.
videoguy
@videoguy, bu yüzden BIOS'ta USB'den önyüklemeyi devre dışı bırakıyoruz ve kullanıcıların alarm şifresini sıfırlayamayacak şekilde alarm veriyoruz. Ve tabii ki, WinRE'ye ihtiyaç duymadan sistemi onarmak için ihtiyaç duyduğumuz araçlara sahibiz, ya da bunlar kiosk makineleri olduğundan, sadece yeniden yükleyebiliriz.
Harry Johnston
16

BitLocker'ı veya başka bir sabit sürücü şifrelemesini kullanın. İstediğinizi elde etmenin tek güvenilir ve gerçekten güvenli yolu.

Swisstone
kaynak
1
@HarryJohnston: Windows'a pek aşina değilim, ancak bilgisayara fiziksel erişimi olan bir saldırgan her zaman sürücüyü silip işletim sistemini yeniden yükleyemez mi?
Thomas Padron-McCarthy,
2
@ ThomasPadron-McCarthy, BIOS düzgün bir şekilde yapılandırılmamışsa değil ve davayı açamıyorlar.
Harry Johnston,
11
“Tek güvenilir ve gerçekten güvenli bir yol” Bu, diğer cevabın ya geçersiz olduğunu ya da yanlış bir güvenlik hissi verdiğini söylüyor. Bunun neden böyle olunca detaylandırılması bu kısa cevabı yararlı bir şeye dönüştürecektir.
Direk
5
Bu. Birisi art arda erişmek için gücü kesen bir endişe ise, diski kesinlikle farklı bir bilgisayara koymak da önemlidir. Bitlocker (veya benzeri bir yazılım) bunu önlemenin gerçekten tek yoludur. Yazılan kimlik bilgileri yok, disk erişimi yok (kullanışlı değil, yine de anlamlı erişim, her şeyin üzerine yazdığınızdan emin olabilirsiniz, ancak diski çekiçle de her zaman parçalayabilirsiniz).
Damon,
4
@ poizan42 OP, bu başka endişeyi başka bir yerde ele aldı. Sadece bu sorunun amacı için WinRE ile ilgileniyorlar .
Pureferret
1

Bit Locker, birisi sabit sürücünüzü çaldığında ve bunu Pc'sinde ikincil sürücüsü olarak kullandığında da çalışır, böylece Pc işletim sistemi ile birlikte önyüklenir ve ikincil sabit disk sürücü olarak kullanılır, yalnızca parola gerektirmez ve BitLocker tarafından korunan herhangi biri içeriğini kolayca keşfedebilir, Lütfen bu denemeyi tekrarlamak ciddi veri bozulmalarına neden olacağından emin olun.

Bu tür sorunları önlemek için her zaman şifreleme kullanın. Disk şifreleme hakkında daha fazla bilgi için lütfen bunu okuyun.

Disk şifreleme

TAHA SULTAN TEMURI
kaynak
1
Ne hakkında konuşuyorsun? Eğer bir bitlock edilmiş sürücüyü ikincil sürücü olarak monte etmek istiyorsanız, kurtarma anahtarına ihtiyacınız vardır. Ana makinede TPM'yi üzecek bir şey yaparsanız, kurtarma anahtarına ihtiyacınız vardır. Pencerelerin portal kopyasını kaldırırsanız, kurtarma anahtarına ihtiyacınız olacaktır.
Mark Henderson
2
@Mark, bence bu cevabı yanlış yorumladınız; Eğer varsa söylüyor yok BitLocker'ı kullanmak sonra bir saldırganın sabit disk çalmaya ve içeriğini erişebilirler. Öte yandan, fiziksel olarak güvenceye alınan bilgisayarlara atıfta bulunan soru noktasını tamamen özlüyor; eğer saldırgan davayı açamazsa, sabit sürücüyü çalamazlar.
Harry Johnston,
Tam olarak @ Johns Johnstno, şifrelemenin size daha fazla güvenlik sağladığını söylemek istedim.
TAHA SULTAN TEMURİ
@HarryJohnston Eğer bir saldırgan davayı açamazsa, yeterince zor denemez. Demir testeresi ve bazı dirsek gresleri, herhangi bir bilgisayar kasasını "açacak", elektrikli el aletleri veya eski moda bir "parçalama ve tutma" demedi. Bunun kullanım için muhtemel bir risk olduğunu söylememekle birlikte, yine de "fiziksel olarak güvenceye alınmış" göreceli bir terimdir ve gerçekte neredeyse hiç bu kadar güvenli değildir .
UmutsuzN00b
@ ÜmitsizN00b, evet, hepsi risk profilleri ile ilgili.
Harry Johnston,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.