启用Windows恢复环境的密码提示
在我的域名工作站之一,我可以访问Windows 7恢复环境(WinRE), 而不会被提示input用户名和密码。 我的研究( 例子 )一致声明我应该得到以下提示,在select键盘input法后立即用本地用户帐户login:
我从来没有得到这个提示 。
此版本的TechNet 论坛由主持人确认我应该被提示login, 这不是一个可configuration的选项 :
- Active Directory的密码到期通知
- 当我是root的时候,“mysql”连接时没有密码,即使我已经设置了一个
- 联网机器绕过Win7共享上的密码保护
- 需要特定命令的sudo密码
- 双因素身份validation – 使用密钥和本地帐户密码的SSH
当使用WinRE时,pipe理权限是由devise所要求的,不能被禁用。
但是,如果没有login,我可以访问所有的恢复选项,包括命令提示符,我可以在其中浏览计算机硬盘上的所有数据。
机器上唯一的本地帐户是Administrator和Guest帐户,都被禁用。 pipe理员帐户设置了密码。
我从Windows 7 Pro OEM系统生成器媒体创build的USB驱动器启动到WinRE。 这不是一个定制的WinRE环境。 WinRE命令提示符中的%USERNAME%variables报告以SYSTEM身份login。 有问题的计算机是运行Windows 7 Pro 64位的最新更新的域成员。
组策略设置计算机configuration\ Windows设置\本地策略\安全选项\恢复控制台:允许自动pipe理login是禁用,这意味着 :
自动pipe理login是不允许的。
如何解决这个问题,并要求用户login访问WinRE?
检查策略设置(gpedit.msc和/或gpresult / h):
计算机configuration> Windows设置>安全设置>本地策略>安全选项:恢复控制台:允许自动pipe理login
registry设置:
Key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\ Value: SecurityLevel (0 = disabled)
能够从USB或光驱启动始终意味着,如果您有物理访问权限并且硬盘未encryption,硬盘上的数据可以浏览。
标准恢复控制台可以遵守 Recovery console: Allow automatic administrative logon = disabled组策略(或registry项),但外部驱动器上的恢复系统不需要关心您的域用户权限或本地身份validation方法。 恢复系统可以完全访问系统外部的硬盘驱动器。 其他的工具,如ntpasswd或任何Linux Live分布这样做。
因此,如果要明确禁止用户访问任何恢复环境:
- 添加BIOS / UEFI密码。
- 从引导顺序和引导选项中排除本地硬盘以外的任何内容。
- 从硬盘驱动器中删除恢复分区。
- 如果您还想用螺丝刀限制访问,可能需要对驱动器进行encryption(例如,使用BitLocker)。