2019-05-16

Windows, WinRE и полный доступ к системе

Выполняя стандартную установку операционной системы Windows, начиная с Windows 7, кроме самой операционной системы, производится установка среды восстановления WinRE. Ну и что в этом такого существенного? А как вы посмотрите на то, что наличие данной среды, позволит любому, у кого будет физический доступ к вашему компьютеру, безболезненно войти под вашей учетной записью, с супер сложным паролем, и вы об этом даже не узнаете.


Предисловие


Что можно сказать о среде восстановления? На данный момент, она есть, и активна, у всех пользователей операционной системы Windows. Практически никто не задумывается о ее существовании, и работе, т.к. в подавляющем большинстве проблемы с загрузкой случаются довольно редко.

Мы создаем учетные записи со сложными паролями, выставляем необходимые права доступа, храним личные данные в директории своей учетной записи, сохраняем пароли к любимым сайтам в браузерах, не беспокоясь о возможности доступа к ним, так как все находится под паролем.

Наличие работающей WinRE на вашем компьютере, сродни тому, что вы закрыли дверь на замок, и положили ключи рядом с дверью.

Изначально, среда восстановления предполагала ее применение лишь в чрезвычайных ситуациях, тогда, когда корректная загрузка не осуществима. Ее запуск при этом, инициируется автоматически, после нескольких неудачных попыток загрузки операционной системы.

Что можно сделать с помощью WinRE? Немного. Можно получить доступ к файловой системе основной операционной системы, и ее реестру. Этого достаточно, чтобы залогиниться под любой интересующей вас учетной записью основной операционной системы, и при желании, все это можно провернуть не оставив явных следов своего прибывания. Пара возможных сценариев будет рассмотрена далее, в следующих разделах.


Среда Восстановления


Среда восстановления Windows Recovery Environment (WinRE), как было сказано ранее, предназначена для восстановления работы операционной системы. Представлена файлами Winre.wim, boot.sdi и ReAgent.xml.

Первые два файла, это ничто иное, как обычная среда предустановки Windows Preinstallation Environment (WinPE), с набором программ предназначенных для восстановления работы операционной системы.

При установке операционной системы, среда восстановления размещается на отдельном разделе. В некоторых случаях на загрузочном разделе. Раздел восстановления не бывает смонтирован, т.е. для любых файловых манипуляций, его нужно монтировать вручную.

Запуск среды восстановления осуществляется загрузчиком, при выполнении некоторых условий, например, несколько незавершенных/прерванных загрузок операционной системы.

Намеренно инициировать запуск среды восстановления, можно следующими способами:

1. Несколько раз прервать загрузку операционной системы Windows. Желательно делать это в самом начале, кнопкой Reset системного блока.

2. Открыть меню выключения, зажать на клавиатуре клавишу SHIFT, и кликнуть мышью по пункту Перезагрузка.

3. Ввести в командной строке, запущенной от имени администратора, команду

:: Инициализация запуска среды восстановления
:: при следующей загрузке компьютера
reagentc /boottore

После чего, выполнить перезагрузку системы.


4. Ввести в командной строке, запущенной от имени администратора, команду

:: Узнаем ID записи среды восстановления
bcdedit /enum "{current}"

:: Изменение конфигурации загрузчика для запуска среды восстановления
bcdedit /set "{bootmgr}" bootsequence "{id_записи_записи_восстановления}"

После чего, выполнить перезагрузку системы.


5. Только для Windows 10. ПускНастройкиОбновления и безопасностьВосстановлениеОсобые варианты загрузкиПерезагрузить сейчас.


Еще некоторые сведения о среде восстановления, можно прочитать тут.


Полный Доступ к Системе


Все последующее описание, это не полный обзор всех возможностей, и вариантов использования, а частичный пример возможного применения среды восстановления в той, или иной ситуации. Как еще можно использовать данную среду, зависит только от вашей фантазии.

Среда восстановления представляет собой графическое меню, с различными инструментами восстановления. Из всех доступных, важным для нас, в рамках текущей статьи, является командная строка.


Что позволяет сделать командная строка среды WinRE по отношению к основной операционной системе? Перечислим самые очевидные варианты:

1. Полный контроль над дисками системы. Файловый доступ, и возможность манипулировать дисками (разметка, форматирование, удаление разделов).

Придется вводить команды, так как графических инструментов в WinRE для этих целей нет.


2. Доступ к реестру основной операционной системы. Возможность изменять параметры реестра основной операционной системы. Делается путем подключения веток реестра.

Запускаем в консоли regedit, и подключаем файлы реестра основной операционной системы. Напомню, что реестр Windows, основные его ветки, расположены по пути \Windows\System32\config.


3. Смена пароля учетной записи, или явный доступ к учетной записи основной операционной системы. Вы, или ваш знакомый, забыли пароль своей учетной записи, и вам необходимо его как-нибудь сбросить, при этом у вас нет на руках загрузочной флешки.

Подробнее, как это сделать рассматривается тут.

4. Неявный доступ к учетной записи основной операционной системы. Вам уж очень нужно получить доступ к содержимому учетной записи компьютера, при этом сделать это нужно максимально незаметно для ее обладателя.

Подробнее, как это сделать рассматривается тут. Хочу так же отметить, что в случае неявного доступа, нужно будет вернуть оригинальный пароль на место. Делаем бэкапы файла SAM, и журнала Windows (располагается по пути \Windows\System32\winevt), чтобы в последствии вернуть их обратно. Копия журнала не обязательна, но вдруг будут проверять аудит входа в систему.


Если у вас есть еще примеры как можно воспользоваться средой восстановления, напишите о них в комментариях.


Отключение WinRE


Если все вышеописанное, убедило вас в том, что наличие активной среды восстановления на вашем компьютере неприемлемо, рассмотрим как ее отключить. Делается это очень просто. Запускаем командную строку от имени администратора, и выполняем следующую команду:

:: Отключаем среду восстановления для текущей ОС
reagentc /disable


Второй способ, напрямую изменить конфигурацию загрузчика.

:: Отключаем среду восстановления для текущей ОС через загрузчик
bcdedit /set "{current}" recoveryenabled "No"



Итог


В статье было рассмотрено: Как получить доступ к учетной записи с помощью WinRE? Как получить доступ к системе с помощью WinRE? WinRE - необходимость или уязвимость?

Комментариев нет :

Отправка комментария