Назад | Перейти на главную страницу

Включить запрос пароля для среды восстановления Windows

На одной из рабочих станций моего домена я могу получить доступ к среде восстановления Windows 7 (WinRE) без будет предложено ввести имя пользователя и пароль. Мое исследование (пример) единогласно заявляет, что я должен получить следующее приглашение для входа в систему с локальной учетной записью сразу после выбора метода ввода с клавиатуры:

Я никогда не получаю это сообщение.

Этот TechNet сообщение на форуме от модератора подтверждает, что мне будет предложено войти в систему и это не настраиваемая опция:

При использовании WinRE права администратора требуются по дизайну, и их нельзя отключить.

Тем не менее, не входя в систему, я могу получить доступ ко всем параметрам восстановления, включая командную строку, в которой я могу перемещаться по всем данным на жестком диске машины.

Единственные локальные учетные записи на машине - это Administrator и Guest аккаунты, оба отключены. Для учетной записи администратора установлен пароль.

Я загружаюсь в WinRE с USB-накопителя, созданного с носителя Windows 7 Pro OEM System Builder. Это не настраиваемая среда WinRE. Переменная% USERNAME% в командной строке WinRE сообщает, что я вошел в систему как SYSTEM. Рассматриваемый компьютер является членом домена под управлением 64-разрядной версии Windows 7 Pro с последними обновлениями.

Параметр групповой политики Конфигурация компьютера \ Параметры Windows \ Локальные политики \ Параметры безопасности \ Консоль восстановления: разрешить автоматический административный вход отключен, что средства:

Автоматический административный вход запрещен.

Как я могу устранить эту проблему и потребовать входа пользователя в систему для доступа к WinRE?

windows-7 password

Проверьте параметр политики (gpedit.msc и / или gpresult / h):

Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности: Консоль восстановления: разрешить автоматический вход администратора

Настройка реестра:

Key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\  
Value: SecurityLevel (0 = disabled)

https://docs.microsoft.com/en-us/windows/device-security/security-policy-settings/recovery-console-allow-automatic-administrative-logon

Возможность загрузки с USB или оптического привода всегда означает, что данные на жестком диске доступны для просмотра, если у вас есть физический доступ к машине, а жесткий диск не зашифрован.

Стандартная консоль восстановления может подчиняться в Recovery console: Allow automatic administrative logon = disabled Групповая политика (или раздел реестра), но система восстановления на внешнем диске этого не делает. нужно заботиться о правах пользователя вашего домена или о методах локальной аутентификации. Система восстановления может получить доступ к жесткому диску полностью вне системы. Другие инструменты, такие как ntpasswd или любой живой дистрибутив Linux делает это.

Поэтому, если вы хотите явно запретить пользователям доступ к любой среда восстановления:

Добавьте пароль BIOS / UEFI.
Исключите все, кроме локального жесткого диска, из порядка загрузки и параметров загрузки.
Удалите разделы восстановления с жесткого диска.
Возможно, зашифруйте диск (например, с помощью BitLocker), если вы также хотите ограничить доступ с помощью отвертки.