Como posso impedir que o Ambiente de Recuperação do Windows seja usado como porta dos fundos?

39

No Windows 10, o Windows Recovery Environment (WinRE) pode ser iniciado cortando repetidamente a energia do computador durante a sequência de inicialização. Isso permite que um invasor com acesso físico a uma máquina da área de trabalho obtenha acesso administrativo à linha de comando; nesse momento, ele pode exibir e modificar arquivos, redefinir a senha administrativa usando várias técnicas e assim por diante.

(Observe que se você iniciar o WinRE diretamente, deverá fornecer uma senha administrativa local antes de fornecer acesso à linha de comando; isso não se aplica se você iniciar o WinRE interrompendo repetidamente a sequência de inicialização. A Microsoft confirmou que não considera isso ser uma vulnerabilidade de segurança.)

Na maioria dos cenários, isso não importa, porque um invasor com acesso físico irrestrito à máquina geralmente pode redefinir a senha do BIOS e obter acesso administrativo inicializando a partir de mídia removível. No entanto, para máquinas de quiosque, em laboratórios de ensino e assim por diante, geralmente são tomadas medidas para restringir o acesso físico, por exemplo, trancando e / ou alarmando as máquinas. Seria muito inconveniente também tentar bloquear o acesso do usuário ao botão liga / desliga e à tomada. A supervisão (pessoalmente ou por meio de câmeras de vigilância) pode ser mais eficaz, mas alguém que usa essa técnica ainda seria muito menos óbvio do que, por exemplo, alguém tentando abrir o gabinete do computador.

Como o administrador do sistema pode impedir que o WinRE seja usado como porta dos fundos?

Adendo: se você estiver usando o BitLocker, já estará parcialmente protegido contra esta técnica; o invasor não poderá ler ou modificar arquivos na unidade criptografada. Ainda seria possível ao invasor limpar o disco e instalar um novo sistema operacional ou usar uma técnica mais sofisticada, como um ataque de firmware. (Pelo que sei, as ferramentas de ataque de firmware ainda não estão amplamente disponíveis para atacantes casuais, portanto, isso provavelmente não é uma preocupação imediata.)

windows security windows-10 desktop-management Harry Johnston
fonte
11
Também deve ser observado que o acesso físico não é um requisito, se apenas a energia com falha repetida durante a inicialização for necessária. Isso poderia acontecer acidentalmente também.
21817 Alexander Kosubek
11
BTW, se um invasor tiver acesso físico ao seu PC, ele quase alcançou seu objetivo.
glglgl
@glglgl, aumenta muito o risco, obviamente. Porém, nesse caso de uso, o invasor em potencial é normalmente alguém que precisa ter acesso ao computador, porque é para isso que serve. Não podemos eliminar todos os riscos, mas isso não significa que devemos desistir e ignorar os que pudermos.
Harry Johnston
O Windows 10 WinRE não fornece acesso ao prompt de comando sem a senha de administrador. Em seus fluxos, você é solicitado a escolher uma das contas de administrador do Win10 e fornecer a senha para essa conta. Somente quando essa verificação passa, você acessa o prompt de comando e outros recursos, como redefinição do sistema.
Videoguy 02/12/19
@videoguy, se você lançar WinRE por interromper repetidamente a sequência de inicialização, ele não dará acesso a um prompt de comando sem uma senha de administrador. Não me pergunte o porquê. É assim que funciona. Isso já foi mencionado na pergunta.
Harry Johnston

Respostas:

37

Você pode usar reagentcpara desativar o WinRE:

reagentc /disable

Consulte a documentação da Microsoft para obter opções adicionais da linha de comando.

Quando o WinRE é desativado dessa maneira, os menus de inicialização ainda estão disponíveis, mas a única opção disponível é o menu Configurações de Inicialização, equivalente às opções de inicialização antigas do F8.

Se você estiver executando instalações autônomas do Windows 10 e desejar que o WinRE seja desativado automaticamente durante a instalação, exclua o seguinte arquivo da imagem de instalação:

\windows\system32\recovery\winre.wim

A infraestrutura do WinRE ainda está em vigor (e pode ser reativada posteriormente usando uma cópia winre.wime a reagentcferramenta de linha de comando), mas será desativada.

Observe que a Microsoft-Windows-WinRE-RecoveryAgentconfiguração em unattend.xmlparece não ter efeito no Windows 10. (No entanto, isso pode depender de qual versão do Windows 10 você está instalando; eu a testei apenas na ramificação LTSB da versão 1607.)

Harry Johnston
fonte
11
Eu sugeriria também adicionar manualmente uma entrada de recuperação que não faça parte do recoverysequence. Isso permitirá a recuperação sem (espero?) Ser iniciado automaticamente.
Mehrdad 10/10
Há uma razão pela qual o WinRE está ativado no Win10. Se o seu sistema falhar na inicialização e você deseja reparar, as ferramentas do WinRE o ajudarão. Depois que alguém tem acesso físico, todas as apostas estão desativadas. Desativá-lo realmente não ajuda nesse sentido. Pode-se criar facilmente um pendrive com o WinRE e inicializá-lo e agora tem acesso a toda a unidade C: \.
Videoguy
@videoguy, é por isso que desativamos a inicialização a partir do USB no BIOS e alertamos os casos para que os usuários não possam redefinir a senha do BIOS. E é claro que temos as ferramentas necessárias para reparar o sistema sem a necessidade do WinRE, ou como são máquinas de quiosque, podemos apenas reinstalar.
Harry Johnston
16

Use o BitLocker ou qualquer outra criptografia do disco rígido. É a única maneira confiável e verdadeiramente segura de alcançar o que você deseja.

Swisstone
fonte
11
@HarryJohnston: Eu não estou muito familiarizado com o Windows, mas um invasor com acesso físico ao computador nem sempre poderá limpar a unidade e reinstalar o sistema operacional?
Thomas Padron-McCarthy
2
@ ThomasPadron-McCarthy, não se o BIOS estiver configurado corretamente e eles não conseguirem abrir o caso.
Harry Johnston
11
"É a única maneira confiável e verdadeiramente segura". Isso indica que a outra resposta é inválida ou fornece uma falsa sensação de segurança. Elaborar por que isso acontece tornaria essa resposta curta em algo útil.
Mastro
5
Este. Se alguém que está cortando repetidamente o poder de obter acesso é uma preocupação, colocar o disco em um computador diferente certamente também é. Bitlocker (ou software similar) é realmente a única maneira de evitar isso. Nenhuma credencial digitada, nenhum acesso ao disco (acesso útil e significativo de qualquer maneira, você pode sobrescrever tudo, mas sempre pode esmagar o disco com um martelo).
Damon
4
@ poizan42 o OP aborda essa outra preocupação em outro lugar. Eles estão preocupados apenas com o WinRE para os fins desta pergunta .
Pureferret
1

O Bit Locker também funciona no caso em que alguém rouba seu disco rígido e o usa como unidade secundária no PC, para que o PC inicialize com o SO e o disco rígido secundário como unidade, apenas não requer senha e, caso não esteja sendo protegido pelo BitLocker, qualquer pessoa pode explorar seu conteúdo com facilidade. Tenha cuidado ao tentar isso, pois a repetição desse comportamento causa corrupção grave de dados.

Sempre use criptografia para evitar esse tipo de problema. Leia isso para obter mais informações sobre criptografia de disco.

Criptografia de disco

TAHA SULTAN TEMURI
fonte
11
Do que diabos você está falando? Se você deseja montar uma unidade com bloqueio de bits como uma unidade secundária, precisará da chave de recuperação. Se você fizer alguma coisa para perturbar o TPM na máquina host, precisará da chave de recuperação. Se você inicializar uma cópia do portal do Windows, precisará da chave de recuperação.
Mark Henderson
2
@ Mark, acho que você interpretou mal essa resposta; está dizendo que, se você não usar o BitLocker, um invasor poderá roubar o disco rígido e acessar o conteúdo. Por outro lado, ele ignora completamente o ponto da pergunta, que se refere a computadores que foram fisicamente protegidos; se o invasor não conseguir abrir o caso, não poderá roubar o disco rígido.
Harry Johnston
Exatamente @Harry Johnstno, eu quis dizer que a criptografia oferece mais segurança.
TAHA SULTAN TEMURI
@HarryJohnston Se um invasor não consegue abrir o caso, ele não está se esforçando o suficiente. Uma serra e uma graxa de cotovelo "abrirão" qualquer gabinete de computador, para não falar de ferramentas elétricas ou de um "esmagar e agarrar" antiquado. Não quer dizer que esse seja um risco provável para um caso de uso, mas ainda assim "fisicamente protegido" é um termo relativo, e quase nunca tão seguro, na realidade .
HopelessN00b
@ HopelessN00b, sim, é tudo sobre perfis de risco.
Harry Johnston