백도어로 사용되는 Windows 복구 환경을 중지하려면 어떻게해야합니까?

Windows 10에서 부팅 순서 동안 컴퓨터의 전원을 반복적으로 차단하여 WinRE (Windows 복구 환경)를 시작할 수 있습니다. 따라서 데스크톱 컴퓨터에 물리적으로 액세스 할 수있는 공격자는 관리 명령 줄 액세스 권한을 얻을 수 있으며,이 시점에서 파일을보고 수정하고 다양한 기술을 사용하여 관리 암호를 재설정 할 수 있습니다 .

(WinRE를 직접 시작하는 경우 명령 줄 액세스를 제공하기 전에 로컬 관리 암호를 제공해야합니다 . 부팅 순서를 반복적으로 중단하여 WinRE를 시작하는 경우 에는 적용 되지 않습니다 . Microsoft는이를 고려하지 않음을 확인했습니다. 보안 취약점이 될 수 있습니다.)

컴퓨터에 물리적으로 제한없이 액세스 할 수있는 공격자는 일반적으로 이동식 미디어에서 부팅하여 BIOS 암호를 재설정하고 관리 액세스 권한을 얻을 수 있기 때문에 대부분의 시나리오에서는 중요하지 않습니다. 그러나, 키오스크 기계, 교습 실 등에서는 일반적으로 기계 잠금 및 / 또는 경보로 물리적 접근을 제한하기위한 조치가 취해집니다. 전원 버튼과 벽면 콘센트에 대한 사용자 액세스를 차단해야하는 것은 매우 불편합니다. 감독 (개인 또는 감시 카메라를 통한)이 더 효과적 일 수 있지만이 기술을 사용하는 사람은 예를 들어 컴퓨터 케이스를 열려고하는 사람보다 훨씬 덜 명확합니다.

시스템 관리자가 WinRE가 백도어로 사용되지 않도록하려면 어떻게해야합니까?

부록 : BitLocker를 사용하는 경우 이미이 기술로부터 부분적으로 보호됩니다. 공격자는 암호화 된 드라이브의 파일을 읽거나 수정할 수 없습니다. 침입자는 여전히 디스크를 지우고 새 운영 체제를 설치하거나 펌웨어 공격과 같은보다 정교한 기술을 사용할 수 있습니다. (내가 알고있는 한, 일반 공격자는 펌웨어 공격 도구를 아직 널리 사용할 수 없기 때문에 즉각적인 문제는 아닙니다.)

reagentcWinRE를 비활성화 하는 데 사용할 수 있습니다 .

reagentc /disable

추가 명령 줄 옵션에 대해서는 Microsoft 설명서 를 참조하십시오 .

이 방법으로 WinRE를 비활성화하면 시작 메뉴를 계속 사용할 수 있지만 사용 가능한 유일한 옵션은 이전 F8 시작 옵션과 동일한 시작 설정 메뉴입니다.

Windows 10을 자동 설치하고 설치하는 동안 WinRE를 자동으로 비활성화하려면 설치 이미지에서 다음 파일을 삭제하십시오.

\windows\system32\recovery\winre.wim

WinRE 인프라는 여전히 유효하지만 나중에 사본 winre.wim과 reagentc명령 줄 도구를 사용하여 다시 활성화 할 수 있지만 비활성화됩니다.

의 Microsoft-Windows-WinRE-RecoveryAgent설정은 unattend.xmlWindows 10에 영향을 미치지 않는 것으로 보입니다. 그러나 설치중인 Windows 10 버전에 따라 달라질 수 있습니다. 버전 1607의 LTSB 분기에서만 테스트했습니다.

BitLocker 또는 다른 하드 드라이브 암호화를 사용하십시오. 원하는 것을 달성 할 수있는 유일하고 신뢰할 수있는 안전한 방법입니다.

Bit Locker는 누군가가 하드 드라이브를 훔쳐서 PC의 보조 드라이브로 사용하여 OS와 보조 하드 드라이브로 드라이브를 부팅 할 때 암호가 필요하지 않고 암호가 필요하지 않은 경우에도 작동합니다 BitLocker로 보호되는 사람은 누구나 쉽게 내용을 탐색 할 수 있습니다.이 동작을 반복하면 데이터가 심각하게 손상 될 수 있으므로 신중하게 시도하십시오.

이런 종류의 문제를 방지하려면 항상 암호화를 사용하십시오. 디스크 암호화에 대한 자세한 내용은이 내용을 읽으십시오.

디스크 암호화