パスワード/キーとしてUSBを使用する
USBデバイスが接続されていない限り、コンピューターがWindowsで起動しないようにする方法はありますか?これは難しい/不可能だと思います。この場合、USBデバイスが接続されていない限り、Windowsがロック解除/ログインできないようにする方法はありますか?
たとえば、ハッカーが私のコンピューターにリモートアクセスできる場合、署名付きのUSBスティックを持っていない限り、ハッカーはWindowsのログイン画面をバイパスできません。また、物理的なレベルの保護を追加するだけです。たとえば、パスワードを他の人と共有した場合でも、USBが必要になります。
これを急いで行う場合は、以下の番号の手順にスキップしてください(ただし、USBドライブでコンピューターをロックする前にこれらの事実を読むことをお勧めします)。
SysKey(SAMロックツール)は、セキュリティアカウント管理またはSAMデータベースを保護するのに役立つ組み込みのWindowsユーティリティです。 SAMデータベースには、ユーザーパスワードのハッシュコピーが保存されます。このコピーは、デフォルトでローカルに保存されているシステムスタートアップキーで暗号化されています。
SysKeyを使用して、スタートアップキーをWindowsまたはUSBフラッシュドライブにローカルに保存できます。代わりに、起動キーをUSBフラッシュドライブに保存すると、Windowsにログインしてアクセスできるように起動時にUSBフラッシュドライブを接続する必要があるため、セキュリティが向上します。
このチュートリアルの手順を実行するには、管理者としてログインする必要があります。
これにより、再起動またはシャットダウン後のコールドスタートアップからの起動時にのみWindowsコンピューターがロックされます。ログオフ、ロック、またはユーザーの切り替え後にWindowsをロックすることはありません。
ログイン後にWindowsが起動すると、USBフラッシュドライブを接続する必要がなくなります。起動時のシステム起動時にのみ接続する必要があります。
USBフラッシュドライブは通常どおり引き続き使用できます。 StartKey.Keyファイルを削除しないでください。削除すると、Windowsのロックを解除できなくなります。
USBフラッシュドライブに配置されたスタートアップキーは、それが作成された特定のWindowsにログオンするためのアクセス権を取得するためにのみ有効です。
注:USB起動キーを接続するまで、Windowsは起動しません。
Windowsでロックを解除するために起動時にUSBキーを必要とするようにするには:
uSBフラッシュドライブのドライブ文字をAの文字に変更する必要があります。
Windows + Rキーを押して実行ダイアログを開き、syskeyと入力します、[OK]をクリック/タップします。
UACによってプロンプトが表示されたら、[はい](Windows 7/8)または[続行](Vista)をクリック/タップします。
更新をクリック/タップします。
(ドット)システム生成パスワードを選択し、スタートアップキーをフロッピーディスクに保存オプションを選択(ドット)し、[OK]をクリック/タップします。
USBに既存のStartKey.Keyファイルがすでにある場合は、古い既存のファイルの名前がStartKey.Bakに変更され、新しいファイルが保存されます。
USBが破損または紛失した場合に備えて、このStartKey.Keyファイルのバックアップを別の場所に保存することをお勧めします。このようにして、ドライブ文字がAの別のUSBにコピーして、Windowsに再びアクセスできるようになります。
Windowsを起動時にUSBキーを必要としないようにするには:
- 上記のすべての手順を4番まで実行します。
- 5番目のステップでスタートアップキーをローカルに保存するオプションを選択します。
USBキーが接続されていない限り、起動を防ぐ方法があるかどうかを尋ねます。これは可能であり、ハードドライブ/コンピューターが盗まれた場合にデータを保護するのに役立ちます。
ただし、コンピュータにリモートアクセスできる人がログインできないようにUSBキーが必要だとも述べました。質問のこの2番目の部分は、実際には意味がありません。誰かがシステムにリモートアクセスできる場合、システムはすでに起動されていると見なされます。この場合、起動に必要なUSBキーは関係ありません。
おそらくあなたが本当に求めているのは、リモートアクセスを無効にする方法があるかどうか、または特定の条件が満たされたときにのみリモートアクセスを有効にする方法があるかどうかです(たとえば、USBの場合)キーが挿入されます)。これを行う1つの方法は、スクリプトを作成することです。今のところ、この回答では、Windowsを起動するためにUSBキーを要求する方法を紹介します。
TPM(Trusted Platform Module)をお持ちでないことを前提としています。ほとんどの人は自分のPCにこれを持っていません。 doがTPMを持っている場合は、おそらくステップ1から4をスキップできます。TPMがあるかどうかわからない場合は、ステップ1から4を実行するだけです。 。TPMを持っている場合でも、これらの手順を実行しても害はありません。
回答の最後に添付されているのは、手順に関連するいくつかの画像です。
- グループポリシーエディターを開きます。これを行うには、WindowsSearchで
gpedt.mscを検索します。 Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drivesに移動します。Require Additional Authentication at Startupをダブルクリックします。Enableを選択し、Allow BitLocker without a...がチェックされていることを確認します。Manage BitLockerを検索して、BitLocker設定を開きます。- ブートドライブ(通常は
C:)を選択し、Turn on BitLockerをクリックします。 - USBキーを挿入し、プロンプトの手順に従います。
終了したら、コンピューターをWindowsで起動するために、コンピューターを起動するたびにUSBキーを挿入する必要があります。さらに、ハードドライブまたはコンピューターが盗まれ、泥棒がUSBキーを持っていない場合、データは保護されます。
以下はいくつかの関連する画像です。 1つ目はステップ2と3用です。2つ目はステップ4用です。
ステップ2および3リファレンス
ステップ4リファレンス
WindowsをUSBデバイス自体にインストールし、USBから起動することができます(ただし、この目的のために十分な速度のデバイスを選択してください。そうしないと、問題が発生します)。したがって、USBサムドライブがポケットに入っているときは、PCから起動するものは何もありません。すべてのローカルパーティションはTrueCryptまたは同様のソフトウェアで暗号化できるため、LiveCD/LiveUSBを使用している別の見知らぬ人がデータを読み取ることはありません。 Windows-on-USB-installationのスタートアップフォルダーにスクリプトを作成して、パスワードを入力せずにTrueCryptパーティションを自動マウントできます。