有没有办法防止计算机在未插入 USB 设备的情况下启动 Windows?我怀疑这很困难/不可能,在这种情况下,有没有办法防止 Windows 在未插入 USB 设备的情况下解锁/登录?
例如,如果黑客可以远程访问我的电脑,那么在我不在场的情况下,他就无法绕过 Windows 登录屏幕。这也只是增加了物理层面的保护,假设我与其他人共享了我的密码,他们仍然需要我的 USB。
答案1
如果您急于执行此操作,请跳至下面编号的步骤。(但请记住,我建议您在使用 USB 驱动器锁定计算机之前阅读这些事实)
SysKey(SAM 锁定工具)是一款内置的 Windows 实用程序,可帮助您保护安全帐户管理或 SAM 数据库。SAM 数据库存储用户密码的哈希副本,默认情况下使用本地存储的系统启动密钥进行加密。
您可以使用 SysKey 将启动密钥存储在 Windows 本地或 USB 闪存驱动器上。将启动密钥存储在 USB 闪存驱动器上可以提高安全性,因为启动时必须连接 USB 闪存驱动器才能登录并访问 Windows。
您必须以管理员身份登录才能执行本教程中的步骤。
这只会在重启或关机后从冷启动时锁定 Windows 计算机。它不会在注销、锁定或切换用户后锁定 Windows。
登录后,Windows 启动后,您不再需要连接 USB 闪存盘。只需在系统启动时连接即可。
您仍然可以继续正常使用 USB 闪存盘。但千万不要删除其中的 StartKey.Key 文件,否则您将无法再用它解锁 Windows。
USB 闪存驱动器上的启动密钥仅用于获取创建它的特定 Windows 的登录权限。
注意:直到您连接 USB 启动密钥,Windows 才会启动。
要使 Windows 在启动时需要 USB 密钥来解锁:
您需要将 USB 闪存驱动器的驱动器号更改为字母 A。
按 Windows+R 键打开运行对话框, 类型系统密钥,然后单击/点击“确定”。
如果 UAC 提示,请单击/点击“是”(Windows 7/8)或“继续”(Vista)。
点击/轻触更新。
选择(点)系统生成的密码,选择(点)将启动密钥存储在软盘上选项,然后单击/点击“确定”。
如果 USB 上已经有 StartKey.Key 文件,那么旧的现有文件将被重命名为 StartKey.Bak,以便将新的文件保存到其中。
建议您将此 StartKey.Key 文件备份到其他位置,以防 USB 损坏或丢失。这样,您就可以将其复制到驱动器号为 A 的另一个 USB,以便再次访问 Windows。
要使 Windows 在启动时不需要 USB 密钥:
- 执行上述所有步骤,直至第 4 步。
- 选择本地存储启动密钥选项。
答案2
您询问是否有办法在未插入 USB 密钥的情况下阻止启动。这是可能的,并且如果您的硬盘/计算机被盗,它有助于保护您的数据。
但是,您还提到您希望 USB 密钥能够阻止远程访问您计算机的人登录。您问题的第二部分实际上没有任何意义。如果有人可以远程访问您的系统,则假定系统已启动。在这种情况下,启动所需的 USB 密钥无关紧要。
也许你真正想问的是,是否有办法禁用远程访问,或者是否有办法仅有的当满足某些条件时(例如,如果插入了 USB 密钥),启用远程访问。一种方法是编写脚本。目前,在这个答案中,我将仅向您展示如何要求 USB 密钥启动 Windows。
我假设你没有 TPM(可信平台模块)。大多数人的 PC 中都没有这个。如果你做有 TPM,您可以跳过步骤 1 到 4。如果您不知道是否有 TPM,则只需执行步骤 1 到 4。即使您做有 TPM,执行这些步骤不会有任何损害。
答案末尾附有几张与步骤相关的图片。
- 打开组策略编辑器。通过
gpedt.msc
在 Windows 搜索中搜索来执行此操作。 - 导航
Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives
。 - 双击
Require Additional Authentication at Startup
。 - 选择
Enable
并确保Allow BitLocker without a...
已选中。 - 通过搜索打开 BitLocker 设置
Manage BitLocker
。 - 选择您的启动驱动器(通常是
C:
),然后单击Turn on BitLocker
。 - 插入您的 USB 密钥,然后按照提示的步骤进行操作。
完成后,每次启动计算机时,您都需要插入 USB 密钥,以便启动 Windows。此外,如果您的硬盘或计算机被盗,而窃贼没有您的 USB 密钥,您的数据将受到保护。
以下是一些相关图片。第一张是步骤 2 和 3 的。第二张是步骤 4 的。
答案3
您可以将 Windows 安装到 USB 设备本身,并从 USB 启动(但请为此选择速度足够快的设备,否则会很糟糕)。因此,当 USB 拇指驱动器放在您的口袋中时,您的 PC 上就没有什么可启动的了。所有本地分区都可以使用 TrueCrypt 或类似软件加密,因此另一个使用 LiveCD/LiveUSB 的陌生人不会读取您的数据。您可以在 Windows-on-USB 安装的启动文件夹中放置一个脚本,以自动安装 TrueCrypt 分区而无需输入密码。