要了解的主要内容是您的客户正在尝试解决一个不可能的问题。试图阻止可以物理访问机器的人访问它就像试图使水不湿一样。这行不通

如果你想做到最好，你可以采取你提到的步骤，我也建议你研究“kiosk模式”。但从根本上说，员工使用计算机进行客户不喜欢的活动仍然相对容易。这就像插入 Linux LiveCD 或无数其他方法一样简单。您永远不会将它们全部关闭（不会让员工使用有用的计算机），而且实际上，您甚至无法让安全措施变得非常困难。

所以我认为有两个重要的收获：（1）保持低期望；技术方法只能提供这么多，所以不要浪费太多时间和精力去发明万无一失的防御，（2）这主要是政策和社会方法的问题，而不是技术方法的问题——例如，您的客户可能希望采用和颁布关于可接受使用公司计算机的明确公司政策，并明确规定违规行为的处罚。

补充 DW 的答案：在您使机器尽可能安全之后，使用措施来检测篡改。例如：

• 外壳上的防篡改贴纸/密封件。他们不会阻止任何人进入案件，但他们会明确表明案件已被打开。
• 如果它们支持网络，请使用网络监控/日志记录。通知员工网络活动受到监控/记录。

无论您使用什么措施，请务必检查它们！否则它们是没用的。

根据您的客户担心的威胁类型，您需要测试不同的东西。

如果他们担心最终用户在机器上获得或滥用未经授权的提升权限，您应该寻找获取或修改系统管理员密码的方法。执行此操作的最简单方法通常涉及从替代媒体引导系统。

• 首先，尝试简单地插入可引导 CD 或 USB 驱动器，看看它是否加载。
• 如果这不起作用，请尝试访问系统的启动菜单（如果有的话）以强制选择启动媒体。
• 如果这不起作用，请尝试访问 BIOS 以自行更改默认引导顺序。此外，利用这个机会验证 CD 驱动器和/或 USB 端口是否实际启用 - 如果没有，则启用它们。
• 如果 BIOS 配置或引导顺序受密码保护，则可能有一种方法可以通过主板上的跳线进行重置。查一下并尝试一下。
• 一旦你用你自己的启动盘/驱动器加载了系统，看看你是否可以读取硬盘。如果可以，您应该能够使用正确的工具发现或更改任何本地帐户（包括内置管理员）的密码。之后，系统被有效地控制。

特权提升的替代方法涉及客户端漏洞。如果您无法启动到备用媒体，或者在备用媒体启动后无法读取 HDD，或者除了这些测试之外您还想覆盖这个领域，您可能想尝试这个。要检查这些，您至少需要访问系统上的受限用户帐户。然后，使用 Metasploit 和/或 Nessus 等工具（如果没有这些工具，谷歌）来发现和测试您可能能够利用的漏洞来升级您的受限用户的访问权限。在这里，您还需要检查系统如何处理可移动媒体的自动播放/自动运行功能。

如果客户更担心数据被盗，我会测试系统对基于网络的攻击的敏感性，就像您没有物理访问权限一样。完成此操作后，您还可以拉出 HDD 并查看可以从另一个系统读取的内容。

关于防御物理攻击向量，这里有一些您可能想阅读的其他线程：

如何防止我的孩子绕过我的电脑限制？

如何防止他人通过启动盘访问 Windows XP 系统？

https://superuser.com/questions/222080/how-to-secure-my-windows-7-pc

或者为了获得成熟 PC 所能提供的更好的安全性，建议使用 jack PC 或芯片 PC 和终端服务、Citrix 或其他远程桌面工具。