Frage Wie kann ich verhindern, dass die Windows-Wiederherstellungsumgebung als Hintertür verwendet wird?


In Windows 10 kann die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) gestartet werden, indem während der Startreihenfolge die Stromversorgung des Computers wiederholt unterbrochen wird. Dadurch kann ein Angreifer mit physischem Zugriff auf einen Desktop-Computer administrativen Zugriff auf die Befehlszeile erhalten. An diesem Punkt können sie Dateien anzeigen und ändern und das Administratorkennwort zurücksetzen verschiedene  Techniken, und so weiter.

(Beachten Sie, dass Sie beim direkten Starten von WinRE ein lokales Administratorkennwort angeben müssen, bevor Sie den Zugriff auf die Befehlszeile erhalten; dies ist der Fall nicht anwenden, wenn Sie WinRE starten, indem Sie die Boot-Sequenz wiederholt unterbrechen. Microsoft hat bestätigt, dass dies keine Sicherheitslücke darstellt.)

In den meisten Fällen spielt dies keine Rolle, da ein Angreifer mit uneingeschränktem physischen Zugriff auf den Computer das BIOS-Kennwort normalerweise zurücksetzen und administrativen Zugriff durch das Starten von Wechselmedien erlangen kann. Für Kiosk-Maschinen, in Übungslabors usw. werden jedoch gewöhnlich Maßnahmen ergriffen, um den physischen Zugang beispielsweise durch Vorhängeschloss und / oder Alarmierung der Maschinen zu beschränken. Es wäre sehr unpraktisch, auch versuchen zu müssen, den Benutzerzugriff sowohl auf den Netzschalter als auch auf die Steckdose zu blockieren. Die Überwachung (entweder persönlich oder über Überwachungskameras) könnte effektiver sein, aber jemand, der diese Technik verwendet, wäre immer noch viel weniger offensichtlich als beispielsweise jemand, der versucht, den Computerfall zu öffnen.

Wie kann der Systemadministrator verhindern, dass WinRE als Hintertür verwendet wird?


Nachtrag: Wenn Sie BitLocker verwenden, sind Sie bereits teilweise vor dieser Technik geschützt. Der Angreifer kann keine Dateien auf dem verschlüsselten Laufwerk lesen oder ändern. Es wäre dem Angreifer immer noch möglich, die Festplatte zu löschen und ein neues Betriebssystem zu installieren oder eine ausgeklügeltere Technik wie einen Firmware-Angriff zu verwenden. (Soweit mir bekannt ist, sind Firmware-Angriffs-Tools für Gelegenheits-Angreifer noch nicht weit verbreitet, daher ist dies wahrscheinlich keine unmittelbare Sorge.)


38
2017-10-10 00:53


Ursprung


Es sollte auch beachtet werden, dass ein physischer Zugriff keine Voraussetzung ist, wenn nur ein wiederholtes Versagen der Stromversorgung während des Hochfahrens notwendig ist. Das könnte auch zufällig passieren. - Alexander Kosubek
Übrigens, wenn ein Angreifer physikalischen Zugriff auf Ihren PC hat, hat er fast sein Ziel erreicht. - glglgl
@glglgl, es erhöht offensichtlich das Risiko deutlich. Aber in diesem Anwendungsfall ist der potentielle Angreifer typischerweise jemand, der hat Zugang zum Computer haben, denn dafür ist es da. Wir können nicht alle Risiken eliminieren, aber das heißt nicht, dass wir aufgeben und diejenigen ignorieren sollten, wo wir können. - Harry Johnston


Antworten:


Sie können verwenden reagentc um WinRE zu deaktivieren:

reagentc /disable

Siehe die Microsoft-Dokumentation für zusätzliche Befehlszeilenoptionen.

Wenn WinRE auf diese Weise deaktiviert wird, sind die Startmenüs weiterhin verfügbar, aber die einzige verfügbare Option ist das Menü Starteinstellungen, das den alten F8-Startoptionen entspricht.


Wenn Sie unbeaufsichtigte Installationen von Windows 10 ausführen und WinRE während der Installation automatisch deaktiviert werden soll, löschen Sie die folgende Datei aus dem Installationsimage:

\windows\system32\recovery\winre.wim

Die WinRE-Infrastruktur ist noch vorhanden (und kann später mit einer Kopie von winre.wim und das reagentc Kommandozeilen-Tool), wird aber deaktiviert.

Notiere dass der Microsoft-Windows-WinRE-RecoveryAgent Einstellung in unattend.xml scheint in Windows 10 keine Auswirkungen zu haben. (Dies hängt jedoch möglicherweise davon ab, welche Version von Windows 10 Sie installieren. Ich habe es nur im LTSB-Zweig der Version 1607 getestet.)


35
2017-10-10 00:53



Ich würde vorschlagen, auch manuell einen Wiederherstellungseintrag hinzuzufügen, der nicht Teil des recoverysequence. Dies ermöglicht eine Wiederherstellung ohne (hoffentlich?) Automatisch gestartet werden. - Mehrdad


Verwenden Sie BitLocker oder eine andere Festplattenverschlüsselung. Es ist der einzige zuverlässige und wirklich sichere Weg, um das zu erreichen, was Sie wollen.


14
2017-10-10 05:03



@ HarryJohnston: Ich bin nicht sehr vertraut mit Windows, aber kein Angreifer, der physischen Zugriff auf den Computer hat immer in der Lage sein, das Laufwerk zu löschen und das Betriebssystem neu zu installieren? - Thomas Padron-McCarthy
@ ThomasPadron-McCarthy, nicht wenn das BIOS richtig konfiguriert ist und sie den Fall nicht öffnen können. - Harry Johnston
"Es ist der einzige zuverlässige und wirklich sichere Weg" Dies sagt ziemlich viel, dass die andere Antwort entweder ungültig ist oder ein falsches Gefühl der Sicherheit gibt. Warum das so ist, würde diese kurze Antwort zu etwas Hilfsbereitem machen. - Mast
Diese. Wenn jemand wiederholt die Stromversorgung unterbricht, um Zugriff zu erhalten, dann ist es sicherlich auch die Festplatte in einen anderen Computer zu stecken. BitLocker (oder ähnliche Software) ist wirklich die einzige Möglichkeit, dies zu verhindern. Keine Zugangsdaten eingegeben, kein Festplattenzugriff (nicht sinnvoll, sinnvoller Zugriff sowieso, Sie können alles überschreiben, aber Sie können die Festplatte auch immer mit einem Hammer zerschlagen). - Damon
@ poizan42 das OP adressiere das andere Bedenken an anderer Stelle. Sie befassen sich nur mit WinRE für den Zweck dieser Frage. - Pureferret


Bit Locker funktioniert auch in dem Fall, wenn jemand Ihre Festplatte stiehlt und dies als sein sekundäres Laufwerk in seinem PC verwendet, so dass PC mit seinem Betriebssystem und sekundärer Festplatte als Laufwerk nur booten braucht es kein Passwort und wenn es nicht ist geschützt durch BitLocker kann jeder seinen Inhalt leicht erkunden, Bitte seien Sie vorsichtig beim Versuch, da dieses Verhalten zu schwerwiegenden Datenverfälschungen führt.

Verwenden Sie immer eine Verschlüsselung, um diese Art von Problemen zu vermeiden. Bitte lesen Sie dies für weitere Informationen zur Festplattenverschlüsselung.

Festplattenverschlüsselung


0
2017-10-10 13:44



Wovon in aller Welt sprichtst du? Wenn Sie ein Bitlocked-Laufwerk als sekundäres Laufwerk mounten möchten, benötigen Sie seinen Wiederherstellungsschlüssel. Wenn Sie etwas unternehmen, um das TPM auf dem Hostcomputer zu stören, benötigen Sie seinen Wiederherstellungsschlüssel. Wenn Sie von einer Portalkopie von Windows booten, benötigen Sie den Wiederherstellungsschlüssel. - Mark Henderson♦
@ Mark, ich denke du hast diese Antwort falsch interpretiert; es sagt, wenn du nicht Mit BitLocker kann ein Angreifer die Festplatte stehlen und auf den Inhalt zugreifen. Auf der anderen Seite verfehlt es völlig den Punkt der Frage, die sich auf Computer bezieht, die physisch gesichert wurden; Wenn der Angreifer den Fall nicht öffnen kann, kann er die Festplatte nicht stehlen. - Harry Johnston
Genau @Harry Johnstno, ich wollte sagen, dass Verschlüsselung Ihnen mehr Sicherheit bietet. - TAHA SULTAN TEMURI
@HarryJohnston Wenn ein Angreifer den Fall nicht öffnen kann, versucht er nicht hart genug. Eine Metallsäge und etwas Ellenbogenfett werden jeden Computerkoffer "öffnen", ganz zu schweigen von Elektrowerkzeugen oder einem altmodischen "Smash and Grab". Um nicht zu sagen, dass dies ein wahrscheinliches Risiko für den Anwendungsfall ist, aber dennoch, "physisch gesichert" ist ein relativer Begriff und in Wirklichkeit fast nie so sicher. - HopelessN00b
@ HopelessN00b, ja, es geht nur um Risikoprofile. - Harry Johnston