Como posso impedir que o Ambiente de Recuperação do Windows seja usado como porta dos fundos?

No Windows 10, o Windows Recovery Environment (WinRE) pode ser iniciado cortando repetidamente a energia do computador durante a sequência de inicialização. Isso permite que um invasor com acesso físico a uma máquina da área de trabalho obtenha acesso administrativo à linha de comando; nesse momento, ele pode exibir e modificar arquivos, redefinir a senha administrativa usando várias técnicas e assim por diante.

(Observe que se você iniciar o WinRE diretamente, deverá fornecer uma senha administrativa local antes de fornecer acesso à linha de comando; isso não se aplica se você iniciar o WinRE interrompendo repetidamente a sequência de inicialização. A Microsoft confirmou que não considera isso ser uma vulnerabilidade de segurança.)

Na maioria dos cenários, isso não importa, porque um invasor com acesso físico irrestrito à máquina geralmente pode redefinir a senha do BIOS e obter acesso administrativo inicializando a partir de mídia removível. No entanto, para máquinas de quiosque, em laboratórios de ensino e assim por diante, geralmente são tomadas medidas para restringir o acesso físico, por exemplo, trancando e / ou alarmando as máquinas. Seria muito inconveniente também tentar bloquear o acesso do usuário ao botão liga / desliga e à tomada. A supervisão (pessoalmente ou por meio de câmeras de vigilância) pode ser mais eficaz, mas alguém que usa essa técnica ainda seria muito menos óbvio do que, por exemplo, alguém tentando abrir o gabinete do computador.

Como o administrador do sistema pode impedir que o WinRE seja usado como porta dos fundos?

Adendo: se você estiver usando o BitLocker, já estará parcialmente protegido contra esta técnica; o invasor não poderá ler ou modificar arquivos na unidade criptografada. Ainda seria possível ao invasor limpar o disco e instalar um novo sistema operacional ou usar uma técnica mais sofisticada, como um ataque de firmware. (Pelo que sei, as ferramentas de ataque de firmware ainda não estão amplamente disponíveis para atacantes casuais, portanto, isso provavelmente não é uma preocupação imediata.)

Você pode usar reagentcpara desativar o WinRE:

reagentc /disable

Consulte a documentação da Microsoft para obter opções adicionais da linha de comando.

Quando o WinRE é desativado dessa maneira, os menus de inicialização ainda estão disponíveis, mas a única opção disponível é o menu Configurações de Inicialização, equivalente às opções de inicialização antigas do F8.

Se você estiver executando instalações autônomas do Windows 10 e desejar que o WinRE seja desativado automaticamente durante a instalação, exclua o seguinte arquivo da imagem de instalação:

\windows\system32\recovery\winre.wim

A infraestrutura do WinRE ainda está em vigor (e pode ser reativada posteriormente usando uma cópia winre.wime a reagentcferramenta de linha de comando), mas será desativada.

Observe que a Microsoft-Windows-WinRE-RecoveryAgentconfiguração em unattend.xmlparece não ter efeito no Windows 10. (No entanto, isso pode depender de qual versão do Windows 10 você está instalando; eu a testei apenas na ramificação LTSB da versão 1607.)

Use o BitLocker ou qualquer outra criptografia do disco rígido. É a única maneira confiável e verdadeiramente segura de alcançar o que você deseja.

O Bit Locker também funciona no caso em que alguém rouba seu disco rígido e o usa como unidade secundária no PC, para que o PC inicialize com o SO e o disco rígido secundário como unidade, apenas não requer senha e, caso não esteja sendo protegido pelo BitLocker, qualquer pessoa pode explorar seu conteúdo com facilidade. Tenha cuidado ao tentar isso, pois a repetição desse comportamento causa corrupção grave de dados.

Sempre use criptografia para evitar esse tipo de problema. Leia isso para obter mais informações sobre criptografia de disco.

Criptografia de disco