Чем можно закрыть доступ к Win10?
 

Уважаемые, вопрос такой: какие есть более надежные, нежели встроенное, решения, позволяющие запаролить доступ к Win10 при загрузке/выходе из спящего режима? Потому что, как всем известно, штатное обходится через реестр при наличии загрузочной флешки примерно за 3 минуты, а хочется быть уверенным чуть менее, чем полностью, что лишние люди за твой комп в твоем отсутствие не сядут.

Заранее спасибо всем!

---

Ответ: шифрование диска и пароль на биос

Можно с помощью TrueCrypt создать контейнер и в него поместить образ диска виртуальной машины (Vmware или VirtualBox). Тогда для пользования своим защищённым пространством потребуются всего 2 действия - подключить контейнер и запустить виртуальную машину. При этом другие пользователи никак не получат доступ к вашим данным.

этот метод не работает, если

- Включен Secure Boot
- Учетка на 10-ке привязана к MS

только полное шифрование диска, и запароленый BIOS.

еще можно включить Windows Hello и докупить сканер отпечатков или камеру

Метод терморектального криптоанализа никто не отменял ещё. Поверьте, в случае чего ломать будут не ваш комп, а вас самого. Это гораздо быстрее и проще сделать, нежели преодолевать какие-то поставленные вами механизмы защиты.

kunzhut, Вы используете неправильный подход. Если «лишние люди», как Вы пишете, могут в Ваше отсутствие сесть за Ваш компьютер, то вскрытие — лишь вопрос желания, денег и времени. Максимально затруднить процесс Вы можете, используя:
и аналоги.

Именно. В Hello можно также использовать ПИН-код, который защищен TPM в отличие от пароля.

Модераториал: Вопрос про технологии ОС, не надо уводить дискуссию в сторону, плиз.

Спасибо за ответы, стало чуть понятней, но появились новые вопросы:

1. Насчет ПИН-кода из Windows Hello: разве его не получится снести так же как штатный пароль при помощи загрузочной флешки?

2. Насчет TrueCrypt: на сайте проекта красной строкой прописано: «WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues» и, как я понимаю предлагают, перейти на BitLocker. Но, одному мне как-то стремно отдавать свой жесткий диск на зашифровку какой-то софтине?

3. Вот этого вообще не понял, можно чуть подробнее?

При наличии TPM это будет очень затруднительно, но вам уже сказали, как обезопаситься от сценария с загрузочной флэшкой - шифрование и/или пароль на BIOS, где загрузка с флэшки отключена.

ПО больше не развивается и не поддерживается, поэтому использовать его нерационально. Конкретно на BitLocker переходить не предлагают, просто приводят инструкции для встроенного в Windows решения. Если оно вас не устраивает, ищите другое. Есть ПО с открытым исходным кодом - VeraCrypt.

См. также Автоматическое шифрование BitLocker в Windows 10.

См. выше:
Немного конспирологии можно прочесть по ссылкам: TrueCrypt — Википедия и Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker / Хабр.

Так и не понял чем не нравится BitLocker. Зачем искать какое то левое ПО?
ссылочку на это известие можно? Там где взламывают штатный BitLocker особенно интересно.
Я, когда гружусь с реаниматоров, вижу не размеченный жесткий диск. После шифрования диска реестр уже недоступен.
Хотите ПИН длинный - пожалуйста. Хотите работать при вставленной личной флэшке с ключом- пожалуйста. Если есть ТПМ - можно и его активировать.
Зашифровать флэшку и можно не боятся ее потерять.

И это правда! Когда у меня спрашивают, где само безопасней хранить пароли (компьютер, флешка) конечно флешка и в запароленом файле, но самое безопасное место - это листок бумажки, в кармане.
Так и здесь, если уж совсем исключить доступность к системе, то лучший способ это забирать её с собой. Я имею ввиду систему на флешке, где Win10 Pro 1903 грузиться за 1 мин. и через полторы можно работать, конечно с флешкой на USB 3.0.
Это, как вариант.

вообще-то это явно указано на главной странице konboot ;-)

ну и Secure Boot - это не галочка в настройках BIOS, а целый комплекс мер

исходный код открыт, и он проходил аудит - там этих security issues по пальцам пересчитать, и все очень экзотические

тоже проходил аудит, и там было больше security issues, чем у TrueCrypt (но это было довольно давно, возможно пофиксили)

внезапно, это не отдельный продукт, а идёт вместе с Windows (хотя и не со всеми редакциями)

Кстати, в Windows всех редакций есть Device Encryption

Но требуется аппаратная поддержка, подробнее по ссылке в 11.

На своем Lenovo Thinkpad E470 я в BIOS-е TPM так и не обнаружил и после апдейта BIOS-а тоже, хотя по спецификации модуль должен быть на борту ноутбука. Скажите, пожалуйста, если использовать BitLocker без TPM, то чем жертвуешь? Скоростью шифрования и/или защищенностью самого BitLocker-а?

Покажите вывод в PowerShell от имени администратора Get-Tpm

Вторым

Get-Tpm : Служба TBS не выполняется и не может быть загружена. (Исключение из HRESULT: 0x80284008)
строка:1 знак:1
+ Get-Tpm
+ ~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Get-Tpm], TpmWmiException
+ FullyQualifiedErrorId : Microsoft.Tpm.Commands.TpmWmiException,Microsoft.Tpm.Commands.GetTpmCommand

kunzhut, обратитесь к администратору организации. Если речь о личном ПК, создайте отдельную тему (см. п. 4, 5.1, 5.2 http://forum.oszone.net/announcement-118-188.html)

Данную тему помечаю решенной, поскольку ответ на исходный вопрос вы уже получили.