Es bien sabido que puedes descifrar la contraseña de una cuenta de Windows mediante la reparación de tu computadora (no daré más detalles aquí)
Lo que me gustaría saber es si conoces la técnica para defenderse de ella.
Idealmente, incluso después de arrancar desde un USB, la unidad de instalación de Windows debe estar bloqueada (en una caja) para que no pueda acceder y modificar ningún archivo o escalar privilegios con Windows cmd shell
¿Alguna idea?
Autenticación previa al arranque + cifrado completo del disco. Esto requerirá una contraseña (o algún otro factor de autenticación) antes de permitir el acceso de cualquier disco.
Su preocupación no solo debe ser desde el "modo de recuperación" sino también cuando Windows no está en uso. La mayoría de los ataques modifican el archivo SAM, que no se puede escribir cuando se está ejecutando el proceso de Local Security Manager. Este archivo contiene las credenciales de la máquina local para permitir inicios de sesión. El caso clásico de omitir esto es cuando inicia un Live CD y usa herramientas para modificar el archivo SAM, ya sea para cambiar las contraseñas o para borrarlas.
Lo único que puede evitar cambios no autorizados es utilizar la utilidad syskey integrada en Windows (XP / 7). Esto actúa como una "contraseña de inicio de sesión universal", ya que un usuario debe proporcionar una contraseña para que Windows descifre el archivo SAM antes de que empiece a usarlo.
Qué tan seguro está el syskey, o si aún se puede hacer el borrado, honestamente no puedo comentar. La forma garantizada de evitar la manipulación externa es mediante el cifrado de todo el disco. Las versiones seleccionadas de Windows incluyen BitLocker, que puede servir para este propósito.
Otras soluciones incluyen TrueCrypt, pero nuevamente emplean cifrado de disco completo.
Si realmente desea probar las aguas, puede usar el cifrado integrado a nivel de sistema de archivos en Windows. EFS (Sistema de cifrado de archivos) está vinculado a su contraseña y otras credenciales, de modo que si algo cambiara, los certificados de cifrado son "irrecuperables". De nuevo, esto solo está disponible en versiones seleccionadas de Windows.
solo para pasar esto necesitas desmontar una computadora portátil o PC y sacar el disco duro o restablecerlo de alguna manera.
como alguien dijo cifralo; O manténgalo en modo de hibernación.
puede probar linux LVM para cifrar todo el disco duro y crear una partición de Windows en él. pero no estoy seguro de si sería posible hacerlo con el sistema de archivos ntfs.
Lea otras preguntas en las etiquetas windows