Контакты
Подписка
МЕНЮ
Контакты
Подписка

Загрузка с внешних носителей в Windows - Форум по вопросам информационной безопасности

Загрузка с внешних носителей в Windows - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Aleksserb | 111472 19.06.2024 21:36
Всем доброго времени суток!
Кто-нибудь сталкивался с проблемой безопасности, связанной с возможностью загрузки с внешних носителей непосредственно из Windows без необходимости иметь права администратора?
Как это работает в Windows 10. Необходимо запустить среду восстановления (WinRE). Для этого есть несколько способов, в том числе без входа(!) в какой-либо из сеансов пользователей. Для запуска WinRE необходимо осуществить перезагрузку с зажатой клавишей Shift. Появится меню, в котором есть пункт "Использовать устройство", нажав на который появится список носителей (устройств), с которых можно загрузиться в данный момент. Это могут быть подключенные к компьютеру загрузочные флэшки, оптические диски и т.д. Выбрав носитель, после перезагрузки компьютер загрузится с этого носителя. Причем игнорируются какие-либо настройки в BIOS/UEFI, касаемые загрузки.
Помимо возможности загрузки с носителя, в WinRE есть и другие функции по восстановлению и диагностики системы, но большинство из них требуют админских прав. А также их можно, вообще, отключить групповыми политиками, тем самым будет выполняться мера УПД.11 Приказа 17. Но загрузка с носителей не отключается! То есть не выполняется мера УПД.17.
P.S. Да, естественно, всё это тестировалось при включенной СЗИ НСД.

Автор: Влад | 111473 20.06.2024 12:56
СДЗ, я так понимаю, не используете?
И что за версия BIOS/UEFI, ради интереса?

Автор: Aleksserb | 111474 20.06.2024 13:24
СДЗ не используется. Есть сомнение, что она поможет. Скорее всего загрузка идёт Виндового загрузчика, что пропустит СДЗ, который затем загружает внешний загрузчик.
Пока решение - это полное отключение этого меню (перезагрузка с Shift'ом). Как это сделать коллега откопал на каком-то иностранном форуме. Там через добавление веток в реестр. Что точно, к сожалению, не знаю. Теперь, когда отключили, при перезагрузке с shift'ом происходит просто перезагрузка.
P.S. Версию UEFI не знаю, производитель материнской платы - MSI

Автор: Влад | 111475 20.06.2024 14:17
Не знаю как программные СДЗ, но аппаратные СДЗ, ещё до загрузки BIOS/UEFI, загрузки каких-либо носителей и соответственно ОС, перехватывают на себя все системные вызовы. Если ваша ГИС классифицирована по классу К2 или К1, то Вам в любом случае необходимо использовать СДЗ для закрытия меры УПД.17.

То, что через реестр закрыт shift - это мера защиты ни о чём. Способ войти в меню восстановления несколько, для этого даже делать ничего особо не надо, достаточно запустить ПК и сразу выключить питания и так несколько раз (3 раза, насколько помню), Windows автоматически загрузится в режим восстановления.

Все способы загрузки описаны на оф.сайте Microsoft:
https://learn.microsoft.com/ru-ru/windows-hardware/manufacture/desktop/windows-recovery-environment--windows-re--technical-reference?view=windows-11

Устанавливайте и настраивайте СДЗ, опечатывайте корпус ПК, включая все разъемы. В BIOS/UEFI можно выключить всё лишнее, хотя при наличии СДЗ это излишне.

Автор: oko | 111476 20.06.2024 17:41
Если память не изменяет, то из оного же меню восстановления нехитрыми действиями можно полный доступ к ФС получить. И не нужны сторонние носители. И привет любые СЗИ, включая СДЗ. С его точки зрения процесс штатный - на эту тему уже давно были исследования (особенно по Соболю), но всем плевать. Разве что в Аккорде была фишка по контролю загрузки драйвера (чего не будет при режиме восстановления) - если за Н секунд нет ответа, то АПМДЗ тупо выключает машину. Как в текущих версиях Аккорда - не в курсе...
imho, нужно переходить на отечественные nix без grub (с загрузкой ядра напрямую). Все остальное - при любых раскладах полумеры...

Автор: Влад | 111477 21.06.2024 08:06
to oko

>>И привет любые СЗИ, включая СДЗ
Есть ссылка на материал по СДЗ?
Хотелось бы понять, как можно получить доступ к аппаратному СДЗ через ОС. Знаю, у тех же СДЗ Dallas Lock есть интеграция с AD, с сетевой картой, но если СДЗ настроить автономно, но никакого взаимодействия с ОС не будет и добраться и деактивировать СДЗ никак не получится.

Автор: oko | 111478 22.06.2024 16:17
to Влад
Вы не так поняли - речь не о влиянии на СДЗ из ОС. А о том, что доступ к ФС из режима восстановления - это в большинстве своем обход любых СЗИ НСД уровня ОС (разграничение доступа к файлам и каталогам) и закономерное отсутствие какой-либо пользы от СДЗ. Потому что с позиции СДЗ процесс вполне штатный - накопитель корректный, КЦ ФС проведен, передача параметров загрузчику ОС корректно проведена. А то, что загрузчик вызвал штатную функцию и не загрузил саму ОС - вопрос не уровня СДЗ...
В контексте большинства АПМДЗ (за вычетом упомянутого Аккорда в связке с их же СЗИ уровня ОС) эта проблема разбиралась еще в 2016-17 гг. И даже watchdog и прочие фичи не помогали, ага. То ли дело, что реакции не было и материалы где-то осели...
Не раз уже предлагал иначе смотреть на процесс доверенной загрузки и придерживаться иной концепции - важно контролировать не частности (носители, файлы, тайминги инициализации того же bios, механизмы ИАФ и т.д.), а весь процесс целиком и предупреждать основную цель нарушителя - реализовать НСД к защищаемой системе и данным. Т.е. даже успешная подмена ОС нарушителем не должна расширять спектр его возможностей принципиально. Зато уведомление ответственных лиц по стороннему каналу - идеальное дополнение...

Автор: oko | 111479 22.06.2024 16:30
*в сторону*
Можно и про отключение СДЗ пофантазировать. Коротко, ибо это давний боянЪ, появившийся после первых механизмов взаимовлияния ОС-UEFI. Отключить PCI-шину, сменить параметры загрузки и проч., и проч...
С СДЗ уровня BIOS такое сработать не должно (не так ли, господа-разработчики?), но и вне зависимости от вливаний и текущей обстановки - это все еще довольно редкий зверь. Если мы говорим, конечно, о качественной продуманной реализации и поставке...

Просмотров темы: 370

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*