バックドアとして使用されているWindows Recovery Environmentを停止するにはどうすればよいですか?


39

Windows 10では、ブートシーケンス中にコンピューターの電源を繰り返し切断することにより、Windows Recovery Environment(WinRE)を起動できます。これにより、デスクトップマシンに物理的にアクセスできる攻撃者は、管理コマンドラインアクセスを取得し、その時点でファイルを表示および変更したり、さまざまな 手法を使用して管理パスワードをリセットしたりできます。

(WinREを直接起動する場合、コマンドラインアクセスを許可する前にローカル管理者パスワードを入力する必要があります。これは、ブートシーケンスを繰り返し中断してWinREを起動する場合適用されませ。Microsoftは、セキュリティの脆弱性です。)

マシンへの無制限の物理アクセスを持つ攻撃者は通常、リムーバブルメディアから起動することでBIOSパスワードをリセットし、管理アクセスを取得できるため、ほとんどのシナリオではこれは重要ではありません。ただし、キオスクマシンの場合、教育ラボなどでは、通常、マシンの南京錠やアラームなどによって物理的なアクセスを制限する手段が取られます。電源ボタンと壁のソケットの両方へのユーザーアクセスをブロックしようとすることも非常に不便です。監督(対面または監視カメラによる)はより効果的かもしれませんが、この手法を使用する人は、たとえばコンピュータケースを開こうとする人よりもはるかに明白ではありません。

システム管理者は、WinREがバックドアとして使用されるのをどのように防ぐことができますか?


補遺: BitLockerを使用している場合、すでにこの手法から部分的に保護されています。攻撃者は暗号化されたドライブ上のファイルを読み取ったり変更したりすることはできません。攻撃者がディスクを消去して新しいオペレーティングシステムをインストールしたり、ファームウェア攻撃などのより高度な手法を使用したりすることは依然として可能です。(私が知る限り、ファームウェア攻撃ツールはまだカジュアルな攻撃者に広く利用可能ではないため、これはおそらく差し迫った懸念ではありません。)


1
また、起動中に電源の障害が繰り返し発生するだけであれば、物理的なアクセスは必須ではありません。それも偶然に起こる可能性があります。
アレクサンダーKosubek

1
ところで、攻撃者があなたのPCに物理的にアクセスできる場合、彼は目標に近づいています。
glglgl

@glglgl、それは明らかにリスクを大幅に増加させます。しかし、このユースケースでは、攻撃者は通常、誰かである持っていることは、それがためにそこに何があるかだから、コンピュータへのアクセスを持っています。すべてのリスクを排除することはできませんが、それはできることをあきらめて無視する必要があるという意味ではありません。
ハリージョンストン

Windows 10 WinREでは、管理者パスワードなしではコマンドプロンプトにアクセスできません。そのフローでは、Win10の管理者アカウントの1つを選択し、そのアカウントのパスワードを提供するように求められます。その検証に合格した場合にのみ、コマンドプロンプトやシステムリセットなどの他の機能にアクセスできます。
videoguy

あなたが繰り返しブートシーケンスを中断することにより、WinREはを起動した場合@videoguy、それはないあなたが管理者パスワードを入力せずにプロンプトのコマンドにアクセスできます。理由を聞かないでください。それはちょうどそれが動作する方法です。これはすでに質問で言及されています。
ハリージョンストン

回答:


37

reagentcWinREを無効にするために使用できます。

reagentc /disable

追加のコマンドラインオプションについては、Microsoftのドキュメント参照してください

この方法でWinREを無効にしても、起動メニューは引き続き使用できますが、使用できるオプションは、古いF8起動オプションに相当する[起動設定]メニューのみです。


Windows 10の無人インストールを実行していて、インストール中にWinREを自動的に無効にする場合は、インストールイメージから次のファイルを削除します。

\windows\system32\recovery\winre.wim

WinREインフラストラクチャはまだ配置されていますが(のコピーwinre.wimreagentcコマンドラインツールを使用して後で再度有効にできます)、無効になります。

Microsoft-Windows-WinRE-RecoveryAgent設定はunattend.xmlWindows 10では効果がないように見えることに注意してください(ただし、これはインストールしているWindows 10のバージョンによって異なる場合があります。バージョン1607のLTSBブランチでのみテストしました。)


1
の一部ではない手動で回復エントリを追加することもお勧めしrecoverysequenceます。これにより、自動起動せずに(できれば)回復できるようになります。
-Mehrdad

Win10でWinREが有効になっているのには理由があります。システムの起動に失敗して修復したい場合は、WinREツールが役立ちます。誰かが物理的にアクセスできるようになると、すべてのベットはオフになります。無効にすることは、その点で実際には役立ちません。WinREを使用してUSBスティックを簡単に作成し、そこから起動すると、C:\ドライブ全体にアクセスできるようになります。
videoguy

@videoguy、それがBIOSでUSBからの起動を無効にし、ユーザーがBIOSパスワードをリセットできないようにケースを警告する理由です。そしてもちろん、WinREを必要とせずにシステムを修復するために必要なツールがあります。これらはキオスクマシンであるため、再インストールするだけです。
ハリージョンストン

16

BitLockerまたはその他のハードドライブ暗号化を使用します。それはあなたが望むものを達成するための唯一の信頼できる真に安全な方法です。


1
@HarryJohnston:私はWindowsにあまり詳しくありませんが、コンピューターに物理的にアクセスできる攻撃者が常にドライブを消去してオペレーティングシステムを再インストールすることはできませんか?
トーマスパドロン-マッカーシー

2
@ ThomasPadron-McCarthy、BIOSが適切に構成されていて、ケースを開けない場合。
ハリージョンストン

11
「これは唯一の信頼できる真に安全な方法です」これは、他の答えが無効であるか、または誤ったセキュリティ感覚を与えることを示しています。それがなぜそうなのかを詳しく説明すると、この短い答えが役に立つものに変わります。
マスト

5
この。誰かがアクセスを得るために繰り返し電源を切ることが懸念される場合、ディスクを別のコンピューターに入れることも確かです。Bitlocker(または同様のソフトウェア)がそれを防ぐ唯一の方法です。資格情報は入力されず、ディスクアクセスもありません(いずれにせよ、有用で意味のあるアクセスではありません。すべてを上書きできますが、常にハンマーでディスクを破壊することもできます)。
デイモン

4
@ poizan42 OPアドレスこの他の別の場所に懸念。彼らはこの質問の目的のために WinREだけに関係しています。
Pureferret

1

Bit Lockerは、誰かがあなたのハードドライブを盗み、これを自分のPcのセカンダリドライブとして使用する場合にも機能します。そのため、Pcは自分のOSとセカンダリハードドライブをドライブとして起動するだけで、パスワードは必要ありません。 BitLockerで保護されているため、誰でも簡単にその内容を調べることができます。この動作を繰り返すと、データが深刻に破損するため、慎重に試してください。

この種の問題を防ぐには、常に暗号化を使用してください。ディスク暗号化の詳細については、こちらをお読みください。

ディスク暗号化


1
一体何について話しているの?ビットロックされたドライブをセカンダリドライブとしてマウントする場合は、回復キーが必要です。ホストマシンでTPMを混乱させるような操作を行う場合は、回復キーが必要です。Windowsのポータルコピーから起動する場合は、回復キーが必要になります。
マークヘンダーソン

2
@マーク、あなたはこの答えを誤って解釈したと思います。BitLockerを使用しない場合、攻撃者がハードドライブを盗んでコンテンツにアクセスできると言われています。一方で、物理的に保護されたコンピューターを指す質問のポイントを完全に見逃しています。攻撃者がケースを開けない場合、ハードドライブを盗むことはできません。
ハリージョンストン

まさに@Harry Johnstno、暗号化によりセキュリティが強化されると言っていました。
タハスルタンTEMURI

@HarryJohnston攻撃者がケースをオープンできない場合、彼は十分に努力していません。電動ノコギリや昔ながらの「スマッシュアンドグラブ」は言うまでもなく、弓のこといくつかの肘のグリースがコンピューターケースを「開き」ます。これがユースケースのリスクである可能性があるとは言いませんが、それでもなお、「物理的に保護された」は相対的な用語であり、実際にはそのような安全性はほとんどありません
HopelessN00b

@ HopelessN00b、はい、それはすべてリスクプロファイルに関するものです。
ハリージョンストン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.