如果我们想在 Windows 启动时启动程序、脚本或类似程序,有几种方法可以使用注册表和文件管理器来实现。但也有方法可以在不启动 Windows 的情况下修改或删除这些条目。例如,未经授权的用户可能会从 USB 驱动器启动迷你恢复操作系统或甚至 Windows 自己的磁盘安装程序,然后访问注册表、CMD 或文件管理器进行必要的更改以修改和/或删除启动项。我的问题是:有没有什么方法可以防止使用可启动媒体修改和/或删除 Windows 10 中的启动项?
我知道这种可能性很小,甚至可能根本不存在,但就安全而言,这将非常有用。这将只允许 Windows 计算机的所有者修改上述条目,这意味着可以采取安全措施来限制我所想到的某些用户。
答案1
有办法减轻风险,但没有办法完全消除风险。这就是为什么物理安全与数字安全同样重要。
降低风险的方法:
- 确保您的计算机具有 TPM(可信平台模块)并且硬盘已完全加密。
- 在 BIOS 上设置密码并防止更改启动设置。
- 如果可以,请在 BIOS 中禁用 USB 端口。
- 将计算机物理锁在机柜内。
除了这些方法之外,你必须始终假设如果机器在物理上受到损害,那么它在数字上也会受到损害。
如果您的计算机没有 TPM,请将 BitLocker 设置为需要物理 USB 密钥来解密驱动器,并始终随身携带此 USB 密钥。如果没有该 USB 密钥,计算机将无法启动,驱动器也无法解密。
(当然,没有密钥也是可以解密加密驱动器的,但是这非常困难,需要超级计算机级别的计算能力。这不是完美的安全性,但它是良好安全性的重要组成部分。)
答案2
这是个好问题,
您可以使用密码锁定您的 BIOS 或 CMOS 设置,因此,如果任何人试图进入您的 BIOS 或甚至尝试通过在启动时按 F12 从另一个设备启动,他将被要求输入密码,这将阻止他,但如果他是专业人士,这不会阻止他,因为有一些技巧可以绕过它,至少您可以半保护您的计算机。
让我告诉你一件事,始终带着你的电脑,仅此而已。
就像你说的“机会很小”,不要让它在未经授权的用户启动微型恢复操作系统的同一瞬间杀死你,小心。