我们想在公司使用 Windows-To-Go。
我已将其安装在 Windows-To-Go 认证的 USB 密钥上。
我真的很喜欢它,但我有点担心对文件系统的访问。
设置
- Windows 8.1 企业版
- 本地用户帐户。无管理员权限
- 使用 PIN 加密的 Bitlocker(使用 Windows-To-Go 时 PIN 是唯一选项)
情况
我们希望将此密钥提供给用户,以便他们可以在家工作。(他们使用它来启动 VPN 会话并连接到 VMware VDI Windows 会话)
启动时,他们需要填写加密 PIN。
启动 Windows 后,他们可以使用本地用户帐户登录。
从这里他们没有管理员权限,也不能修改系统文件。
一切都很棒!
问题
我担心的是,当他们像平常一样启动 PC 并将 USB 设备连接到自己的 Windows 会话时。系统
会提示他们输入 PIN(因为文件系统已加密),但不幸的是,这个 PIN 是已知的,因为他们需要从 USB 启动。
从这里他们可以访问和修改所有系统文件!
我的问题是:
我们如何确保没有管理员权限的用户不能访问系统文件?
答案1
不幸的是,除了 BitLocker 之外,没有其他方法可以保护 USB 记忆棒。由于用户有密码,他们可以将其安装到自己的机器上并访问文件。只要有人拥有物理访问权限,就总会存在此类问题。
如果您需要完全控制,您可能需要考虑远程桌面解决方案。远程桌面服务概述 https://technet.microsoft.com/en-us/library/hh831447.aspx?f=255&MSPPError=-2147217396