•Измените последовательность загрузки. Жесткий диск должен быть первым загрузочным устройством. Измените последовательность загрузки в BIOS таким образом, чтобы компьютер не мог загружаться с дискеты, USB-устройства или DVD/CD-ROM. Если жесткий диск не является первым загрузочным устройством, кто угодно сможет использовать загрузочный CD или флеш-диск, подключаемый к USB, чтобы получить доступ к жесткому диску.

•Защитите BIOS паролем. Пароль должен быть установлен для доступа к BIOS, чтобы только человек, знающий его, мог вносить изменения в конфигурацию. Если BIOS не защищен паролем, кто угодно может изменить последовательность загрузки и использовать загрузочный CD, дискету или флеш-диск (см. выше).

•Опечатайте корпусы компьютеров и шасси. Опечатайте аппаратные компоненты. Существует возможность подключить внешнее загрузочное устройство непосредственно к компьютеру и получить доступ к жесткому диску. Более того, если кто-то получит физический доступ к материнской плате, ему будет очень просто найти переключатель очистки CMOS и затем стереть пароль для доступа к BIOS (см. выше).

•Не предоставляйте права администратора обычному пользователю. Рядовые пользователи не должны входить в локальную группу Администраторы. Также не следует давать им административные права на рабочие компьютеры.

•Удалите среду/консоль восстановления Windows. Используя среду восстановления Windows на локальном компьютере, кто угодно может загрузить компьютер в режиме восстановления системы и отключить сервис DeviceLock (тем не менее, для этого потребуется пароль локального администратора). Поэтому рекомендуется не допускать использования среды восстановления Windows обычными пользователями. Параметры восстановления системы описаны в статье Microsoft по адресу support.microsoft.com/ru-ru/kb/307654. Сведения о среде восстановления Windows см. в статье Microsoft по адресу msdn.microsoft.com/ru-ru/dn938364.