バックドアとして使用されているWindows Recovery Environmentを停止するにはどうすればよいですか？

Windows 10では、ブートシーケンス中にコンピューターの電源を繰り返し切断することにより、Windows Recovery Environment（WinRE）を起動できます。これにより、デスクトップマシンに物理的にアクセスできる攻撃者は、管理コマンドラインアクセスを取得し、その時点でファイルを表示および変更したり、さまざまな 手法を使用して管理パスワードをリセットしたりできます。

（WinREを直接起動する場合、コマンドラインアクセスを許可する前にローカル管理者パスワードを入力する必要があります。これは、ブートシーケンスを繰り返し中断してWinREを起動する場合は適用されません。Microsoftは、セキュリティの脆弱性です。）

マシンへの無制限の物理アクセスを持つ攻撃者は通常、リムーバブルメディアから起動することでBIOSパスワードをリセットし、管理アクセスを取得できるため、ほとんどのシナリオではこれは重要ではありません。ただし、キオスクマシンの場合、教育ラボなどでは、通常、マシンの南京錠やアラームなどによって物理的なアクセスを制限する手段が取られます。電源ボタンと壁のソケットの両方へのユーザーアクセスをブロックしようとすることも非常に不便です。監督（対面または監視カメラによる）はより効果的かもしれませんが、この手法を使用する人は、たとえばコンピュータケースを開こうとする人よりもはるかに明白ではありません。

システム管理者は、WinREがバックドアとして使用されるのをどのように防ぐことができますか？

補遺： BitLockerを使用している場合、すでにこの手法から部分的に保護されています。攻撃者は暗号化されたドライブ上のファイルを読み取ったり変更したりすることはできません。攻撃者がディスクを消去して新しいオペレーティングシステムをインストールしたり、ファームウェア攻撃などのより高度な手法を使用したりすることは依然として可能です。（私が知る限り、ファームウェア攻撃ツールはまだカジュアルな攻撃者に広く利用可能ではないため、これはおそらく差し迫った懸念ではありません。）

reagentcWinREを無効にするために使用できます。

reagentc /disable

追加のコマンドラインオプションについては、Microsoftのドキュメントを参照してください。

この方法でWinREを無効にしても、起動メニューは引き続き使用できますが、使用できるオプションは、古いF8起動オプションに相当する[起動設定]メニューのみです。

Windows 10の無人インストールを実行していて、インストール中にWinREを自動的に無効にする場合は、インストールイメージから次のファイルを削除します。

\windows\system32\recovery\winre.wim

WinREインフラストラクチャはまだ配置されていますが（のコピーwinre.wimとreagentcコマンドラインツールを使用して後で再度有効にできます）、無効になります。

のMicrosoft-Windows-WinRE-RecoveryAgent設定はunattend.xmlWindows 10では効果がないように見えることに注意してください（ただし、これはインストールしているWindows 10のバージョンによって異なる場合があります。バージョン1607のLTSBブランチでのみテストしました。）

BitLockerまたはその他のハードドライブ暗号化を使用します。それはあなたが望むものを達成するための唯一の信頼できる真に安全な方法です。

Bit Lockerは、誰かがあなたのハードドライブを盗み、これを自分のPcのセカンダリドライブとして使用する場合にも機能します。そのため、Pcは自分のOSとセカンダリハードドライブをドライブとして起動するだけで、パスワードは必要ありません。 BitLockerで保護されているため、誰でも簡単にその内容を調べることができます。この動作を繰り返すと、データが深刻に破損するため、慎重に試してください。

この種の問題を防ぐには、常に暗号化を使用してください。ディスク暗号化の詳細については、こちらをお読みください。

ディスク暗号化