Windows 10では、起動シーケンス中にコンピューターの電源を繰り返し切断することにより、Windows回復環境(WinRE)を起動できます。これにより、デスクトップマシンに物理的にアクセスできる攻撃者は、管理コマンドラインアクセスを取得できます。この時点で、ファイルを表示および変更し、 varioustechniques を使用して管理パスワードをリセットできます。 、 等々。
(WinREを直接起動する場合は、コマンドラインアクセスを許可する前にローカル管理パスワードを入力する必要があります。これは、起動する場合に適用されますではありません WinREは、ブートシーケンスを繰り返し中断することにより、これをセキュリティの脆弱性とは見なしていないことを確認しました。
マシンへの物理的なアクセスが制限されていない攻撃者は通常、リムーバブルメディアから起動してBIOSパスワードをリセットし、管理アクセスを取得できるため、ほとんどのシナリオではこれは問題になりません。しかし、キオスクマシンの場合、教育ラボなどでは、通常、マシンの南京錠やアラームなどの物理的なアクセスを制限するための対策が講じられています。また、電源ボタンとコンセントの両方へのユーザーのアクセスをブロックしなければならないのは非常に不便です。 (対面または監視カメラによる)監視の方が効果的かもしれませんが、この手法を使用する人は、たとえば、コンピューターのケースを開こうとする人よりもはるかに明白ではありません。
システム管理者は、WinREがバックドアとして使用されるのをどのように防ぐことができますか?
補遺:BitLockerを使用している場合、すでにこの手法から部分的に保護されています。攻撃者は、暗号化されたドライブ上のファイルを読み取ったり変更したりすることはできません。攻撃者がディスクをワイプして新しいオペレーティングシステムをインストールしたり、ファームウェア攻撃などのより高度な手法を使用したりすることは依然として可能です。 (私が知っている限り、カジュアルな攻撃者がファームウェア攻撃ツールをまだ広く利用できないので、これはおそらく差し迫った問題ではありません。)
reagentc
を使用して、WinREを無効にすることができます。
reagentc /disable
追加のコマンドラインオプションについては、Microsoftのドキュメントを参照してください 。
この方法でWinREを無効にしても、スタートアップメニューは引き続き使用できますが、使用できる唯一のオプションは、古いF8スタートアップオプションと同等の[スタートアップ設定]メニューです。
Windows 10の無人インストールを実行していて、インストール中にWinREを自動的に無効にする場合は、インストールイメージから次のファイルを削除します。
\windows\system32\recovery\winre.wim
WinREインフラストラクチャは引き続き有効です(およびwinre.wim
のコピーとreagentc
コマンドラインツールを使用して後で再度有効にすることができます)が無効になります。
Microsoft-Windows-WinRE-RecoveryAgent
のunattend.xml
設定は、Windows 10では効果がないように見えます(ただし、これは、インストールしているWindows 10のバージョンによって異なる場合があります。LTSBでのみテストしましたバージョン1607のブランチ。)
BitLockerまたはその他のハードドライブ暗号化を使用します。それはあなたが望むものを達成するための唯一の信頼できる真に安全な方法です。
Bit Lockerは、誰かがあなたのハードドライブを盗み、これを彼のPcのセカンダリドライブとして使用する場合にも機能します。そのため、PCは彼のOSとセカンダリハードドライブをドライブとして起動するだけで、パスワードは必要ありません。 BitLockerによって保護されているので、誰でも簡単にコンテンツを探索できます。この動作を繰り返すと、データが深刻に破損するため、これを試してみてください。
この種の問題を防ぐために、常に暗号化を使用してください。ディスク暗号化の詳細については、こちらをお読みください。