Comment puis-je empêcher l'utilisation de l'environnement de récupération Windows comme porte dérobée?
Dans Windows 10, l'environnement de récupération Windows (WinRE) peut être lancé en coupant l'alimentation de l'ordinateur à plusieurs reprises pendant la séquence de démarrage. Cela permet à un attaquant disposant d'un accès physique à une machine de bureau d'accéder à la ligne de commande administrative, auquel cas il peut afficher et modifier des fichiers, réinitialiser le mot de passe administratif à l'aide de diverstechniques , etc.
(Notez que si vous lancez directement WinRE, vous devez fournir un mot de passe administratif local avant qu'il ne vous donne accès à la ligne de commande; cela ne s'applique pas si vous lancez WinRE en interrompant à plusieurs reprises la séquence de démarrage. Microsoft a confirmé qu'il ne considérait pas cela comme une vulnérabilité de sécurité.)
Dans la plupart des scénarios, cela n'a pas d'importance, car un attaquant disposant d'un accès physique illimité à la machine peut généralement réinitialiser le mot de passe du BIOS et obtenir un accès administratif en démarrant à partir d'un support amovible. Cependant, pour les machines de kiosque, dans les laboratoires d'enseignement, etc., des mesures sont généralement prises pour restreindre l'accès physique en cadenassant et/ou en alarmant, par exemple, les machines. Il serait très gênant de devoir également essayer de bloquer l'accès des utilisateurs au bouton d'alimentation et à la prise murale. La supervision (en personne ou via des caméras de surveillance) pourrait être plus efficace, mais une personne utilisant cette technique serait encore beaucoup moins évidente que, par exemple, une personne tentant d'ouvrir le boîtier de l'ordinateur.
Comment l'administrateur système peut-il empêcher WinRE d'être utilisé comme porte dérobée?
Addendum: si vous utilisez BitLocker, vous êtes déjà partiellement protégé contre cette technique; l'attaquant ne pourra pas lire ou modifier des fichiers sur le lecteur chiffré. Il serait toujours possible pour l'attaquant d'effacer le disque et d'installer un nouveau système d'exploitation, ou d'utiliser une technique plus sophistiquée telle qu'une attaque de firmware. (Pour autant que je sache, les outils d'attaque de firmware ne sont pas encore largement disponibles pour les attaquants occasionnels, donc ce n'est probablement pas une préoccupation immédiate.)
Vous pouvez utiliser reagentc pour désactiver WinRE:
reagentc /disable
Voir la documentation Microsoft pour des options de ligne de commande supplémentaires.
Lorsque WinRE est désactivé de cette manière, les menus de démarrage sont toujours disponibles, mais la seule option disponible est le menu Paramètres de démarrage, équivalent aux anciennes options de démarrage F8.
Si vous effectuez des installations sans assistance de Windows 10 et que vous souhaitez que WinRE soit automatiquement désactivé lors de l'installation, supprimez le fichier suivant de l'image d'installation:
\windows\system32\recovery\winre.wim
L'infrastructure WinRE est toujours en place (et peut être réactivée ultérieurement à l'aide d'une copie de winre.wim et l'outil de ligne de commande reagentc) mais seront désactivés.
Notez que le Microsoft-Windows-WinRE-RecoveryAgent réglage dans unattend.xml ne semble pas avoir d'effet dans Windows 10. (Cependant, cela peut dépendre de la version de Windows 10 que vous installez; je ne l'ai testée que sur la branche LTSB de la version 1607.)
Utilisez BitLocker ou tout autre chiffrement de disque dur. C'est le seul moyen fiable et vraiment sûr d'atteindre ce que vous voulez.
Bit Locker fonctionne également dans le cas où quelqu'un vole votre disque dur et l'utilise comme son disque secondaire dans son PC de sorte que le PC démarre avec son système d'exploitation et son disque dur secondaire comme un disque uniquement, il ne nécessite aucun mot de passe et s'il n'est pas protégé par BitLocker, tout le monde peut facilement explorer son contenu, veuillez faire attention car la répétition de ce comportement provoque une grave corruption des données.
Utilisez toujours le cryptage pour éviter ce genre de problèmes. Veuillez lire ceci pour plus d'informations sur le chiffrement de disque.