这里真正的问题是，攻击者只需要物理访问您的硬盘驱动器即可读取或操作包含您的密码哈希的文件。SuperUser 上已经有一个帖子有一些建议，我可能会在这里重复。

如何保护我的 Windows 7 PC？

随着 PC 的安全性妥协，物理访问可能是迄今为止最糟糕的一种。一旦攻击者掌握了您的计算机，就可以轻松绕过大多数其他安全方法。也就是说，您可以采取以下措施来防止或阻止这些攻击影响您的系统。

1. 使用强密码。 至少使它们长 15 个字符，并使用所有四种字符类型（小写字母、大写字母、数字、非字母数字）。此外，避免在密码的任何部分使用任何字典单词。最后，千万不要写！
2. 加密硬盘。 这将防止任何攻击者在启动到他们自己的环境时读取或操作系统文件。这是通常能够在涉及对系统的物理访问的攻击中幸存下来的唯一措施。另见第 1 项。
3. 锁定 BIOS 和引导顺序。 将系统设置为仅引导到系统驱动器，并在 BIOS 上设置管理员密码，以便无法更改。另见第 1 项。
4. 物理固定系统机箱。 如果可能，请用挂锁锁定系统机箱和/或将其放置在安全的机柜中。机箱锁会阻碍使用主板上的跳线清除 BIOS 密码，以及移除硬盘驱动器以加载到另一个系统的努力。一个安全的机柜可以做到这一点，并且还会阻碍任何插入或加载替代启动媒体的尝试。为了理想的安全性，如果你真的很偏执，那么两者都做。

简短的回答是：如果您的敌人实际拥有您的 PC，则没有提供强大安全性的好方法。你只需要接受它作为生活的事实。

• 例如，如果您的敌人对您的 PC 具有物理控制权，那么他可以从您的 PC 中移除硬盘驱动器，并在他自己的 PC 上将其读取并写入他心中的内容。

• 另一个例子是，敌人可以偷偷引入一个键盘记录器，记录你所有的密码和其他击键。一些键盘记录器是小型、不显眼的加密狗，可以安装在您的键盘和 PC 之间，因此再多锁定您的 PC 机壳也不足以抵御这种威胁。

此网页上提出的任何答案都无法阻止所有这些攻击。

您询问了缓解措施。没有很好的缓解措施，但是您可以采取一些不完善的步骤（除了此处提到的其他步骤）：

• 使用加密的文件系统。加密整个文件系统。TrueCrypt 拥有免费且优质的软件。PGP 销售的软件很好。这将减少敌人访问您硬盘的机会之窗。一些缺点包括您必须记住并使用长密码。它不适用于无人值守的服务器（因为服务器启动时必须有人在附近输入密码，并且一旦输入密码，只要服务器无人值守，敌人就可以访问数据）。

• 对 PC 应用尽可能多的物理安全性。 例如，锁上箱子，锁上它所在的房间，购买防盗报警器，安装监控摄像机。

您可以做一些花哨的事情，包括购买硬件安全模块 (HSM) 来存储您的加密密钥和使用防篡改硬件，例如智能卡或 IBM 4758。然而，这些都是奇特的技术，在大多数设置。

防止从 CD 和 USB 记忆棒等设备启动的一种方法是在 BIOS 中禁用它并用密码保护它。然后它需要访问主板来重置 BIOS。