在我的一个域工作站上,我可以访问 Windows 7 恢复环境 (WinRE)没有提示输入用户名和密码。我的研究(例子) 一致宣称我应该在选择键盘输入法后立即收到以下使用本地用户帐户登录的提示:
我从来没有收到过这个提示。
此 TechNet论坛帖子主持人确认我应该被提示登录并这不是一个可配置的选项:
使用 WinRE 时,设计时需要管理权限,并且无法禁用。
但是,无需登录,我就可以访问所有恢复选项,包括命令提示符,在其中我可以浏览机器硬盘上的所有数据。
计算机上唯一的本地帐户是Administrator和Guest帐户,这两个帐户均已禁用。管理员帐户已设置密码。
我正在从使用 Windows 7 Pro OEM System Builder 介质创建的 USB 驱动器启动到 WinRE。这不是自定义的 WinRE 环境。WinRE 命令提示符中的 %USERNAME% 变量报告我以 SYSTEM 身份登录。相关计算机是运行 Windows 7 Pro 64 位并安装最新更新的域成员。
组策略设置计算机配置\Windows 设置\本地策略\安全选项\恢复控制台: 允许自动管理登录已禁用,方法:
不允许自动管理登录。
我该如何解决此问题并要求用户登录才能访问 WinRE?
答案1
检查策略设置(gpedit.msc 和/或 gpresult /h):
计算机配置>Windows 设置>安全设置>本地策略>安全选项:恢复控制台:允许自动管理登录
注册表设置:
Key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\
Value: SecurityLevel (0 = disabled)
答案2
能够从 USB 或光驱启动始终意味着,如果您可以物理访问机器并且硬盘未加密,则可以浏览硬盘上的数据。
标准恢复控制台能够服从组策略Recovery console: Allow automatic administrative logon = disabled(或注册表项),但外部驱动器上的恢复系统没有需要关心您的域用户权限或本地身份验证方法。恢复系统可以完全在系统外部访问硬盘。其他工具如密码或者任何 Linux 实时发行版都可以这样做。
因此,如果你想明确阻止用户访问任何恢复环境:
- 添加 BIOS/UEFI 密码。
- 从启动顺序和启动选项中排除除本地硬盘之外的任何内容。
- 从硬盘中删除恢复分区。
- 如果您还想使用螺丝刀限制访问,可以对驱动器进行加密(例如使用 BitLocker)。