Ser capaz de inicializar a partir de uma unidade USB ou óptica sempre significa que os dados no disco rígido são navegáveis se você tiver acesso físico à máquina e a unidade de disco rígido não estiver criptografada.
Um console de recuperação padrão pode obedecer à Diretiva de Grupo Recovery console: Allow automatic administrative logon = disabled
(ou à chave do Registro), mas um sistema de recuperação em uma unidade externa não precisa sobre seus privilégios de usuário de domínio ou métodos de autenticação local. Um sistema de recuperação pode acessar o disco rígido completamente fora do sistema. Outras ferramentas como ntpasswd ou qualquer distribuição ao vivo do Linux faz isso.
Portanto, se você quiser impedir explicitamente que os usuários acessem qualquer ambiente de recuperação:
- Adicionar senha da BIOS / UEFI.
- Exclua tudo, exceto o disco rígido local da ordem de inicialização & opções de inicialização.
- Remova as partições de recuperação do disco rígido.
- Possivelmente criptografe a unidade (por exemplo, com o BitLocker) se você também quiser limitar o acesso com uma chave de fenda.