¿Cómo puedo evitar que el entorno de recuperación de Windows se use como puerta trasera?

En Windows 10, el entorno de recuperación de Windows (WinRE) se puede iniciar cortando repetidamente la alimentación de la computadora durante la secuencia de arranque. Esto permite que un atacante con acceso físico a una máquina de escritorio obtenga acceso administrativo a la línea de comandos, momento en el que puede ver y modificar archivos, restablecer la contraseña administrativa utilizando diversas técnicas , etc.

(Tenga en cuenta que si inicia WinRE directamente, debe proporcionar una contraseña administrativa local antes de que le dé acceso a la línea de comandos; esto no se aplica si inicia WinRE interrumpiendo repetidamente la secuencia de inicio. Microsoft ha confirmado que no consideran esto ser una vulnerabilidad de seguridad)

En la mayoría de los casos, esto no importa, porque un atacante con acceso físico sin restricciones a la máquina generalmente puede restablecer la contraseña del BIOS y obtener acceso administrativo al arrancar desde medios extraíbles. Sin embargo, para las máquinas de kiosco, en los laboratorios de enseñanza, etc., generalmente se toman medidas para restringir el acceso físico, por ejemplo, bloqueando y / o alarmando las máquinas. Sería muy inconveniente tener que intentar también bloquear el acceso del usuario tanto al botón de encendido como a la toma de corriente. La supervisión (ya sea en persona o mediante cámaras de vigilancia) podría ser más efectiva, pero alguien que use esta técnica aún sería mucho menos obvio que, por ejemplo, alguien que intenta abrir la caja de la computadora.

¿Cómo puede el administrador del sistema evitar que WinRE se use como puerta trasera?

Anexo: si está utilizando BitLocker, ya está parcialmente protegido de esta técnica; el atacante no podrá leer ni modificar archivos en la unidad encriptada. El atacante aún podría borrar el disco e instalar un nuevo sistema operativo, o utilizar una técnica más sofisticada, como un ataque de firmware. (Hasta donde yo sé, las herramientas de ataque de firmware aún no están ampliamente disponibles para los atacantes casuales, por lo que esto probablemente no sea una preocupación inmediata).

— Harry Johnston
fuente

También debe tenerse en cuenta que el acceso físico no es un requisito, si solo es necesario fallar repetidamente la alimentación durante el arranque. Eso también podría suceder accidentalmente.

— Alexander Kosubek

Por cierto, si un atacante tiene acceso físico a su PC, casi ha alcanzado su objetivo.

— glglgl

@glglgl, obviamente aumenta mucho el riesgo. Pero en este caso de uso, el atacante potencial suele ser alguien que tiene que tener acceso a la computadora, porque para eso está. No podemos eliminar todos los riesgos, pero eso no significa que debamos renunciar e ignorar los que podamos.

— Harry Johnston

Windows 10 WinRE no le da acceso al símbolo del sistema sin contraseña de administrador. En sus flujos, se le pedirá que elija una de las cuentas de administrador de Win10 y proporcione la contraseña para esa cuenta. Solo cuando pasa esa verificación, puede acceder al símbolo del sistema y a otras funciones, como el reinicio del sistema.

— videoguy

@videoguy, si inicia WinRE interrumpiendo repetidamente la secuencia de arranque, que no le dan acceso a un símbolo del sistema y sin una contraseña de administrador. No me preguntes por qué. Así es como funciona. Esto ya se mencionó en la pregunta.

— Harry Johnston

Respuestas:

Puede usar reagentcpara deshabilitar WinRE:

reagentc /disable

Consulte la documentación de Microsoft para obtener opciones adicionales de la línea de comandos.

Cuando WinRE está deshabilitado de esta manera, los menús de inicio todavía están disponibles, pero la única opción que está disponible es el menú Configuración de inicio, equivalente a las antiguas opciones de inicio de F8.

Si está realizando instalaciones desatendidas de Windows 10 y desea que WinRE se deshabilite automáticamente durante la instalación, elimine el siguiente archivo de la imagen de instalación:

\windows\system32\recovery\winre.wim

La infraestructura de WinRE todavía está en su lugar (y se puede volver a habilitar más tarde usando una copia de winre.wimy la reagentcherramienta de línea de comando) pero se desactivará.

Tenga en cuenta que la Microsoft-Windows-WinRE-RecoveryAgentconfiguración unattend.xmlno parece tener ningún efecto en Windows 10. (Sin embargo, esto puede depender de la versión de Windows 10 que esté instalando; solo lo he probado en la rama LTSB de la versión 1607).

— Harry Johnston
fuente

Sugeriría también agregar una entrada de recuperación manualmente que no sea parte de recoverysequence. Eso permitirá la recuperación sin (¿con suerte?) Iniciarse automáticamente.

— Mehrdad

Hay una razón por la cual WinRE está habilitado en Win10. Si su sistema no se inicia y desea repararlo, las herramientas de WinRE lo ayudan a hacerlo. Una vez que alguien tiene acceso físico, todas las apuestas se cancelan. Deshabilitarlo realmente no ayuda en ese sentido. Uno puede crear fácilmente una memoria USB con WinRE y arrancar desde ella y ahora tiene acceso a toda la unidad C: \.

— videoguy

@videoguy, es por eso que deshabilitamos el arranque desde USB en el BIOS y alarmamos los casos para que los usuarios no puedan restablecer la contraseña del BIOS. Y, por supuesto, tenemos las herramientas que necesitamos para reparar el sistema sin necesidad de WinRE, o dado que se trata de máquinas de quiosco, simplemente podemos reinstalarlo.

— Harry Johnston

Use BitLocker o cualquier otro cifrado de disco duro. Es la única forma confiable y verdaderamente segura de lograr lo que desea.

— Swisstone
fuente

@HarryJohnston: No estoy muy familiarizado con Windows, pero no a un atacante que tenga acceso físico al ordenador siempre ser capaz de limpiar la unidad y volver a instalar el sistema operativo?

— Thomas Padron-McCarthy

@ ThomasPadron-McCarthy, no si el BIOS está configurado correctamente y no pueden abrir el caso.

— Harry Johnston

"Es la única forma confiable y verdaderamente segura" Esto prácticamente indica que la otra respuesta es inválida o da una falsa sensación de seguridad. Elaborar sobre por qué es así convertiría esta breve respuesta en algo útil.

— Mástil

Esta. Si alguien corta la energía repetidamente para obtener acceso es una preocupación, entonces poner el disco en una computadora diferente también lo es. Bitlocker (o software similar) es realmente la única forma de prevenir eso. Sin credenciales escritas, sin acceso al disco (no es útil, acceso significativo de todos modos, seguro que puede sobrescribir todo, pero siempre puede romper el disco con un martillo también).

— Damon

@ poizan42 el OP aborda esta otra preocupación en otra parte. Solo les preocupa WinRE a los efectos de esta pregunta .

— Pureferret

Bit Locker también funciona en el caso de que alguien robe su disco duro y lo use como su unidad secundaria en su PC para que la PC arranque con su sistema operativo y su disco duro secundario solo como una unidad, no requiere ninguna contraseña y si no está siendo protegido por BitLocker, cualquiera puede explorar fácilmente su contenido. Tenga cuidado al intentar esto porque la repetición de este comportamiento puede causar graves daños en los datos.

Utilice siempre el cifrado para evitar este tipo de problemas. Lea esto para obtener más información sobre el cifrado de disco.

Cifrado de disco

— TAHA SULTAN TEMURI
fuente

¿De qué demonios estás hablando? Si desea montar una unidad de bitlocked como unidad secundaria, necesita su clave de recuperación. Si hace algo para alterar el TPM en la máquina host, necesita su clave de recuperación. Si arranca una copia del portal de Windows, necesitará su clave de recuperación.

— Mark Henderson

@ Mark, creo que has malinterpretado esta respuesta; está diciendo que si no usa BitLocker, un atacante puede robar el disco duro y acceder a los contenidos. Por otro lado, se pierde por completo el punto de la pregunta, que se refiere a las computadoras que se han protegido físicamente; Si el atacante no puede abrir el caso, no puede robar el disco duro.

— Harry Johnston

Exactamente @Harry Johnstno, quise decir que el cifrado te brinda más seguridad.

— TAHA SULTAN TEMURI

@HarryJohnston Si un atacante no puede abrir el caso, no está tratando lo suficiente. Una sierra para metales y un poco de grasa en el codo "abrirán" cualquier caja de la computadora, sin mencionar las herramientas eléctricas o un "golpe y agarre" anticuado. No quiere decir que este sea un riesgo probable para el caso de uso, pero aún así, "físicamente seguro" es un término relativo, y casi nunca tan seguro, en realidad .

— HopelessN00b

@ HopelessN00b, sí, se trata de perfiles de riesgo.

— Harry Johnston