Уважаемые, вопрос такой: какие есть более надежные, нежели встроенное, решения, позволяющие запаролить доступ к Win10 при загрузке/выходе из спящего режима? Потому что, как всем известно, штатное обходится через реестр при наличии загрузочной флешки примерно за 3 минуты, а хочется быть уверенным чуть менее, чем полностью, что лишние люди за твой комп в твоем отсутствие не сядут.

Заранее спасибо всем!
[hr]
Ответ: шифрование диска и пароль на биос

Можно с помощью TrueCrypt создать контейнер и в него поместить образ диска виртуальной машины (Vmware или VirtualBox). Тогда для пользования своим защищённым пространством потребуются всего 2 действия - подключить контейнер и запустить виртуальную машину. При этом другие пользователи никак не получат доступ к вашим данным.

Это уже давно устаревший способ, с момента появления bypass инструментов (вроде konboot и прочих bypass поновее...). »
этот метод не работает, если

- Включен Secure Boot
- Учетка на 10-ке привязана к MS

какие есть более надежные, нежели встроенное, решения »
только полное шифрование диска, и запароленый BIOS.

еще можно включить Windows Hello и докупить сканер отпечатков или камеру

хочется быть уверенным чуть менее, чем полностью, что лишние люди за твой комп в твоем отсутствие не сядут »
Метод терморектального криптоанализа никто не отменял ещё. Поверьте, в случае чего ломать будут не ваш комп, а вас самого. Это гораздо быстрее и проще сделать, нежели преодолевать какие-то поставленные вами механизмы защиты.

kunzhut, Вы используете неправильный подход. Если «лишние люди», как Вы пишете, могут в Ваше отсутствие сесть за Ваш компьютер, то вскрытие — лишь вопрос желания, денег и времени. Максимально затруднить процесс Вы можете, используя:
TrueCrypt »
только полное шифрование диска »
и аналоги.

только полное шифрование диска, и запароленый BIOS.
еще можно включить Windows Hello и докупить сканер отпечатков или камеру »
Именно. В Hello можно также использовать ПИН-код (http://www.outsidethebox.ms/19045/), который защищен TPM в отличие от пароля.

Метод терморектального криптоанализа никто не отменял ещё. »
Модераториал: Вопрос про технологии ОС, не надо уводить дискуссию в сторону, плиз.

Спасибо за ответы, стало чуть понятней, но появились новые вопросы:

1. Насчет ПИН-кода из Windows Hello: разве его не получится снести так же как штатный пароль при помощи загрузочной флешки?

2. Насчет TrueCrypt: на сайте проекта (http://truecrypt.sourceforge.net/) красной строкой прописано: «WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues» и, как я понимаю предлагают, перейти на BitLocker. Но, одному мне как-то стремно отдавать свой жесткий диск на зашифровку какой-то софтине?

3. Это уже давно устаревший способ, с момента появления bypass инструментов (вроде konboot и прочих bypass поновее...).
Вот этого вообще не понял, можно чуть подробнее?

1. Насчет ПИН-кода из Windows Hello: разве его не получится снести так же как штатный пароль при помощи загрузочной флешки? »
При наличии TPM это будет очень затруднительно, но вам уже сказали, как обезопаситься от сценария с загрузочной флэшкой - шифрование и/или пароль на BIOS, где загрузка с флэшки отключена.

Насчет TrueCrypt: на сайте проекта красной строкой прописано: «WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues» и, как я понимаю предлагают, перейти на BitLocker. »
ПО больше не развивается и не поддерживается, поэтому использовать его нерационально. Конкретно на BitLocker переходить не предлагают, просто приводят инструкции для встроенного в Windows решения. Если оно вас не устраивает, ищите другое. Есть ПО с открытым исходным кодом - VeraCrypt.

См. также Автоматическое шифрование BitLocker в Windows 10 (http://www.outsidethebox.ms/19600/).

2. Насчет TrueCrypt: на сайте проекта красной строкой прописано: «WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues» и, как я понимаю предлагают, перейти на BitLocker. Но, одному мне как-то стремно отдавать свой жесткий диск на зашифровку какой-то софтине? »
См. выше:
и аналоги. »
Немного конспирологии можно прочесть по ссылкам: TrueCrypt — Википедия (https://ru.wikipedia.org/wiki/TrueCrypt) и Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker / Хабр (https://habr.com/ru/post/224491/).

Так и не понял чем не нравится BitLocker. Зачем искать какое то левое ПО?
как всем известно, штатное обходится через реестр при наличии загрузочной флешки »
ссылочку на это известие можно? Там где взламывают штатный BitLocker особенно интересно.
Я, когда гружусь с реаниматоров, вижу не размеченный жесткий диск. После шифрования диска реестр уже недоступен.
Хотите ПИН длинный - пожалуйста. Хотите работать при вставленной личной флэшке с ключом- пожалуйста. Если есть ТПМ - можно и его активировать.
Зашифровать флэшку и можно не боятся ее потерять.

kunzhut, Вы используете неправильный подход. Если «лишние люди», как Вы пишете, могут в Ваше отсутствие сесть за Ваш компьютер, то вскрытие — лишь вопрос желания, денег и времени »
И это правда! Когда у меня спрашивают, где само безопасней хранить пароли (компьютер, флешка) конечно флешка и в запароленом файле, но самое безопасное место - это листок бумажки, в кармане.
Так и здесь, если уж совсем исключить доступность к системе, то лучший способ это забирать её с собой. Я имею ввиду систему на флешке, где Win10 Pro 1903 грузиться за 1 мин. и через полторы можно работать, конечно с флешкой на USB 3.0.
Это, как вариант.

Так и не понял чем не нравится BitLocker. Зачем искать какое то левое ПО? »
Например, ценой.

Проверено лично ? Пруф в студию »
вообще-то это явно указано на главной странице konboot ;-)

ну и Secure Boot - это не галочка в настройках BIOS, а целый комплекс мер

на сайте проекта красной строкой прописано: «WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues »
исходный код открыт, и он проходил аудит - там этих security issues по пальцам пересчитать, и все очень экзотические

Есть ПО с открытым исходным кодом - VeraCrypt. »
тоже проходил аудит, и там было больше security issues, чем у TrueCrypt (но это было довольно давно, возможно пофиксили)

Цитата Kirill_S:
Так и не понял чем не нравится BitLocker. Зачем искать какое то левое ПО? »
Например, ценой. »
внезапно, это не отдельный продукт, а идёт вместе с Windows (хотя и не со всеми редакциями)

Кстати, в Windows всех редакций есть Device Encryption

Кстати, в Windows всех редакций есть Device Encryption »
Но требуется аппаратная поддержка, подробнее по ссылке в 11 (http://forum.oszone.net/post-2891275-11.html).

На своем Lenovo Thinkpad E470 я в BIOS-е TPM так и не обнаружил и после апдейта BIOS-а тоже, хотя по спецификации модуль должен быть на борту ноутбука. Скажите, пожалуйста, если использовать BitLocker без TPM, то чем жертвуешь? Скоростью шифрования и/или защищенностью самого BitLocker-а?

а своем Lenovo Thinkpad E470 я в BIOS-е TPM так и не обнаружил »
Покажите вывод в PowerShell от имени администратора Get-Tpm

если использовать BitLocker без TPM, то чем жертвуешь? Скоростью шифрования и/или защищенностью самого BitLocker-а? »
Вторым

Get-Tpm : Служба TBS не выполняется и не может быть загружена. (Исключение из HRESULT: 0x80284008)
строка:1 знак:1
+ Get-Tpm
+ ~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Get-Tpm], TpmWmiException
+ FullyQualifiedErrorId : Microsoft.Tpm.Commands.TpmWmiException,Microsoft.Tpm.Commands.GetTpmCommand

http://d.zaix.ru/eZLt.png

kunzhut, обратитесь к администратору организации. Если речь о личном ПК, создайте отдельную тему (см. п. 4, 5.1, 5.2 http://forum.oszone.net/announcement-118-188.html)

Данную тему помечаю решенной, поскольку ответ на исходный вопрос вы уже получили.