Wie kann ich verhindern, dass die Windows-Wiederherstellungsumgebung als Hintertür verwendet wird?

39

In Windows 10 kann die Windows-Wiederherstellungsumgebung (WinRE) gestartet werden, indem die Stromversorgung des Computers während der Startsequenz wiederholt unterbrochen wird. Auf diese Weise kann ein Angreifer mit physischem Zugriff auf einen Desktopcomputer über die Befehlszeile auf Administratorrechte zugreifen. Anschließend können er Dateien anzeigen und ändern, das Administratorkennwort mithilfe verschiedener Techniken zurücksetzen usw.

(Beachten Sie, dass Sie beim direkten Start von WinRE ein lokales Administratorkennwort angeben müssen, damit Sie auf die Befehlszeile zugreifen können. Dies gilt nicht , wenn Sie WinRE durch wiederholtes Unterbrechen der Startsequenz starten. Microsoft hat bestätigt, dass dies nicht berücksichtigt wird eine Sicherheitslücke sein.)

In den meisten Szenarien spielt dies keine Rolle, da ein Angreifer mit uneingeschränktem physischen Zugriff auf den Computer normalerweise das BIOS-Kennwort zurücksetzen und Administratorzugriff erhalten kann, indem er von einem Wechseldatenträger bootet. Bei Kioskautomaten, in Lehrlabors usw. werden jedoch normalerweise Maßnahmen ergriffen, um den physischen Zugang zu beschränken, indem z. B. die Automaten verriegelt und / oder alarmiert werden. Es wäre sehr unpraktisch zu versuchen, den Benutzerzugriff sowohl auf den Netzschalter als auch auf die Steckdose zu blockieren. Die Überwachung (entweder persönlich oder über Überwachungskameras) ist möglicherweise effektiver, aber jemand, der diese Technik verwendet, ist immer noch weitaus weniger offensichtlich als beispielsweise jemand, der versucht, das Computergehäuse zu öffnen.

Wie kann der Systemadministrator verhindern, dass WinRE als Hintertür verwendet wird?

Anhang: Wenn Sie BitLocker verwenden, sind Sie bereits teilweise vor dieser Technik geschützt. Der Angreifer kann keine Dateien auf dem verschlüsselten Laufwerk lesen oder ändern. Es ist dem Angreifer weiterhin möglich, die Festplatte zu löschen und ein neues Betriebssystem zu installieren oder eine ausgefeiltere Technik wie einen Firmware-Angriff zu verwenden. (Soweit mir bekannt ist, sind Firmware-Angriffstools für gelegentliche Angreifer noch nicht weit verbreitet, sodass dies wahrscheinlich kein unmittelbares Problem darstellt.)

windows security windows-10 desktop-management Harry Johnston
quelle
1
Es ist auch zu beachten, dass ein physischer Zugriff nicht erforderlich ist, wenn nur ein wiederholter Stromausfall während des Startvorgangs erforderlich ist. Das könnte auch versehentlich passieren.
Alexander Kosubek
1
Übrigens, wenn ein Angreifer physischen Zugriff auf Ihren PC hat, hat er sein Ziel fast erreicht.
glglgl
@glglgl, es erhöht natürlich das Risiko. Aber in diesem Anwendungsfall ist der potenzielle Angreifer normalerweise jemand, der hat Zugriff auf den Computer haben, denn das ist , was es ist da. Wir können nicht alle Risiken ausschließen, aber das bedeutet nicht, dass wir aufgeben und diejenigen ignorieren sollten, wo wir können.
Harry Johnston
Windows 10 WinRE gibt Ihnen keinen Zugriff auf die Eingabeaufforderung ohne Administratorkennwort. In diesem Ablauf werden Sie aufgefordert, eines der Administratorkonten von Win10 auszuwählen und ein Kennwort für dieses Konto anzugeben. Erst wenn diese Überprüfung bestanden wurde, können Sie auf die Eingabeaufforderung und andere Funktionen wie das Zurücksetzen des Systems zugreifen.
Videoguy
@videoguy, wenn Sie WinRE durch wiederholtes Unterbrechen der Boot - Sequenz zu starten, es wird Sie auf einen Befehl ohne Admin - Passwort - Eingabeaufforderung zuzugreifen. Frag mich nicht warum. So funktioniert es einfach. Dies wurde bereits in der Frage erwähnt.
Harry Johnston

Antworten:

37

Sie können reagentcWinRE folgendermaßen deaktivieren:

reagentc /disable

Weitere Befehlszeilenoptionen finden Sie in der Microsoft-Dokumentation .

Wenn WinRE auf diese Weise deaktiviert ist, sind die Startmenüs weiterhin verfügbar, aber die einzige verfügbare Option ist das Startup Settings-Menü, das den alten F8-Startoptionen entspricht.

Wenn Sie eine unbeaufsichtigte Installation von Windows 10 ausführen und möchten, dass WinRE während der Installation automatisch deaktiviert wird, löschen Sie die folgende Datei aus dem Installationsimage:

\windows\system32\recovery\winre.wim

Die WinRE-Infrastruktur ist noch vorhanden (und kann später mithilfe einer Kopie von winre.wimund des reagentcBefehlszeilentools wieder aktiviert werden ), wird jedoch deaktiviert.

Beachten Sie, dass die Microsoft-Windows-WinRE-RecoveryAgentEinstellung in unattend.xmlWindows 10 scheinbar keine Auswirkungen hat. (Dies hängt jedoch möglicherweise von der installierten Version von Windows 10 ab. Ich habe sie nur im LTSB-Zweig von Version 1607 getestet.)

Harry Johnston
quelle
1
Ich würde auch vorschlagen, einen Wiederherstellungseintrag manuell hinzuzufügen, der nicht Teil der ist recoverysequence. Dies ermöglicht die Wiederherstellung, ohne (hoffentlich?) Automatisch gestartet zu werden.
Mehrdad
Es gibt einen Grund, warum WinRE unter Win10 aktiviert ist. Wenn Ihr System nicht booten kann und Sie es reparieren möchten, helfen Ihnen die WinRE-Tools. Sobald jemand physischen Zugriff hat, sind alle Wetten deaktiviert. Das Deaktivieren hilft in dieser Hinsicht nicht wirklich. Mit WinRE kann man ganz einfach einen USB-Stick erstellen und von dort booten und hat nun Zugriff auf das gesamte Laufwerk C: \.
Videoguy
@videoguy, aus diesem Grund deaktivieren wir das Booten über USB im BIOS und alarmieren die Fälle, damit Benutzer das BIOS-Passwort nicht zurücksetzen können. Und natürlich haben wir die Werkzeuge, die wir brauchen, um das System zu reparieren, ohne WinRE zu benötigen, oder da es sich um Kiosk-Maschinen handelt, können wir sie einfach neu installieren.
Harry Johnston
16

Verwenden Sie BitLocker oder eine andere Festplattenverschlüsselung. Dies ist der einzige zuverlässige und wirklich sichere Weg, um das zu erreichen, was Sie wollen.

Swisstone
quelle
1
@HarryJohnston: Ich bin nicht sehr vertraut mit Windows, aber kann ein Angreifer, der physischen Zugriff auf den Computer hat, nicht immer das Laufwerk löschen und das Betriebssystem neu installieren?
Thomas Padron-McCarthy
2
@ ThomasPadron-McCarthy, nicht wenn das BIOS richtig konfiguriert ist und sie den Fall nicht öffnen können.
Harry Johnston
11
"Es ist der einzige zuverlässige und wirklich sichere Weg." Die andere Antwort ist entweder ungültig oder vermittelt ein falsches Sicherheitsgefühl. Wenn Sie näher erläutern, warum dies so ist, wird diese kurze Antwort hilfreich.
Mast
5
Diese. Wenn jemand wiederholt die Stromzufuhr unterbricht, um Zugriff zu erhalten, ist es sicher auch wichtig, die Festplatte in einen anderen Computer zu stecken. Bitlocker (oder eine ähnliche Software) ist wirklich die einzige Möglichkeit, dies zu verhindern. Keine eingegebenen Anmeldeinformationen, kein Zugriff auf die Festplatte (nicht sinnvoll, auf jeden Fall können Sie alles überschreiben, aber Sie können die Festplatte auch immer mit einem Hammer zerschlagen).
Damon
4
@ poizan42 das OP adressiert dieses andere Anliegen woanders. Sie beschäftigen sich nur mit WinRE zum Zweck dieser Frage .
Pureferret
1

Bit Locker funktioniert auch für den Fall, dass jemand Ihre Festplatte stiehlt und diese als sekundäre Festplatte in Ihrem PC verwendet, sodass der PC mit seinem Betriebssystem und der sekundären Festplatte nur als Festplatte bootet und kein Kennwort benötigt und falls dies nicht der Fall ist Geschützt durch BitLocker kann jeder seinen Inhalt leicht durchsuchen. Bitte seien Sie vorsichtig, wenn Sie dies versuchen, da das Wiederholen dieses Verhaltens zu einer schwerwiegenden Beschädigung der Daten führt.

Verwenden Sie immer eine Verschlüsselung, um solche Probleme zu vermeiden. Bitte lesen Sie dies für weitere Informationen zur Festplattenverschlüsselung.

Festplattenverschlüsselung

TAHA SULTAN TEMURI
quelle
1
Wovon in aller Welt sprichtst du? Wenn Sie ein bitblockiertes Laufwerk als sekundäres Laufwerk bereitstellen möchten, benötigen Sie dessen Wiederherstellungsschlüssel. Wenn Sie das TPM auf dem Host-Computer stören möchten, benötigen Sie dessen Wiederherstellungsschlüssel. Wenn Sie von einer Portal-Kopie von Windows booten, benötigen Sie den Wiederherstellungsschlüssel.
Mark Henderson
2
@Mark, ich glaube, Sie haben diese Antwort falsch interpretiert. Wenn Sie BitLocker nicht verwenden, kann ein Angreifer die Festplatte stehlen und auf den Inhalt zugreifen. Auf der anderen Seite wird der Punkt der Frage, der sich auf physisch gesicherte Computer bezieht, völlig übersehen. Wenn der Angreifer den Fall nicht öffnen kann, kann er die Festplatte nicht stehlen.
Harry Johnston
Genau @Harry Johnstno, ich wollte damit sagen, dass Verschlüsselung Ihnen mehr Sicherheit bietet.
TAHA SULTAN TEMURI
@HarryJohnston Wenn ein Angreifer den Fall nicht aufklären kann, gibt er sich nicht genug Mühe. Eine Bügelsäge und ein wenig Ellbogenfett "öffnen" jedes Computergehäuse, ganz zu schweigen von Elektrowerkzeugen oder einem altmodischen "Smash and Grab". Um nicht zu sagen, dass dies ein wahrscheinliches Risiko für den Anwendungsfall ist, aber dennoch ist "physisch gesichert" ein relativer Begriff und in der Realität fast nie so sicher .
HopelessN00b
@ HopelessN00b, ja, es geht nur um Risikoprofile.
Harry Johnston