如何停止将Windows Recovery Environment用作后门?
在
Windows 10中,可以通过在引导顺序期间反复切断计算机电源来启动Windows恢复环境(WinRE).这允许具有对桌面计算机的物理访问权限的攻击者获得管理命令行访问权限,此时他们可以查看和修改文件,使用
various
techniques重置管理密码,依此类推.
(请注意,如果直接启动WinRE,则必须提供本地管理密码才能进行命令行访问;如果通过反复中断启动顺序启动WinRE,则不适用.Microsoft已确认他们不认为这是是一个安全漏洞.) 在大多数情况下,这并不重要,因为对机器具有不受限制的物理访问权限的攻击者通常可以通过从可移动媒体启动来重置BIOS密码并获得管理访问权限.然而,对于自助服务终端机,教学实验室等,通常采取措施来限制物理访问,例如通过挂锁和/或警告机器.如果还试图阻止用户访问电源按钮和墙上插座,那将是非常不方便的.监督(亲自或通过监视摄像机)可能更有效,但是使用这种技术的人仍然远不如例如试图打开计算机机箱的人. 系统管理员如何防止WinRE被用作后门? 附录:如果您使用的是BitLocker,则您已经部分受到此技术的保护;攻击者无法读取或修改加密驱动器上的文件.攻击者仍然可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术,例如固件攻击. (据我所知,固件攻击工具尚未被临时攻击者广泛使用,因此这可能不是一个直接关注的问题.)
您可以使用reagentc来禁用WinRE:
reagentc /disable See the Microsoft documentation用于其他命令行选项. 以这种方式禁用WinRE时,启动菜单仍然可用,但唯一可用的选项是“启动设置”菜单,相当于旧的F8启动选项. 如果要执行无人参与的Windows 10安装,并希望在安装期间自动禁用WinRE,请从安装映像中删除以下文件: windowssystem32recoverywinre.wim WinRE基础结构仍然存在(稍后可以使用winre.wim和reagentc命令行工具的副本重新启用)但将被禁用. 请注意,unattend.xml中的Microsoft-Windows-WinRE-RecoveryAgent设置似乎在Windows 10中没有任何效果.(但是,这可能取决于您要安装的Windows 10版本;我只在LTSB上测试过它1607版的分支.) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows – 使用Powershell,如果最近的事件日志事
- windows – 希望通过命令行将“作为服务登录”权
- Vagrant中的Windows CRLF到Unix LF问题
- windows-xp – Windows XP显示磁盘空间不足 – W
- .net core autofac automapper
- windows – 是否可以从另一个进程捕获渲染音频会
- .net – MVC Controller应该在单独的DLL中吗?
- 如何替换字符串并在Microsoft NMake中添加前缀或
- 提交失败:在Windows上从Eclipse提交到Google Co
- Windows – 桌面上的绘图线在Win 7上非常慢