Direccionando cada parte sucesivamente:
1) Este control protege contra el siguiente escenario de amenaza: un atacante obtiene el control físico del disco duro de la máquina. Extraen la base de datos SAM local, que contiene hashes de contraseñas para las cuentas en la máquina y los obliga a obtener las contraseñas que usan para iniciar sesión en otra máquina de la que no tienen control físico. SYSKEY funciona cifrando la copia local de los hashes de contraseña y escribiendo la clave de cifrado en un disquete. Usted proporciona el disquete con la clave en el arranque del sistema.
2) Cualquier máquina que no sea un controlador de dominio solo almacena hashes para cuentas locales en su base de datos SAM, por lo que realmente no cambia el ataque si el cliente participa en un dominio o no.
3) Al parecer, SysKey simplemente escribe en la letra de unidad A :, a la que se le haya asignado, así que si obliga a una llave USB a usar A: en Administración de discos, funcionará. La unidad debe estar presente y montada en el arranque, por lo que debe usar un disquete o un disco USB, no un recurso compartido de red o dispositivo. También debe almacenar el disquete / USB (y cualquier copia de seguridad que haga de él) por separado de la máquina, ya que la amenaza es que se pierde el control físico de la máquina.
Por último, en términos más generales, lo estás haciendo mal. Ha implementado un control sin saber lo que hace. Haga una evaluación de riesgos adecuada, comprenda la amenaza y luego seleccione el control.
Es bastante probable, por ejemplo, que la implementación del cifrado completo del disco y el uso de contraseñas seguras y el refuerzo de la seguridad física en el dispositivo sea más que suficiente para administrar el riesgo de que alguien realice el ataque descrito anteriormente.