faux, t'as toujours le cache local
c'est pour ça que de plus en plus de boites cryptent le disque dur.
ça empêche les attaques par BOOT sur CD/USB et crackage de mot de passe.
sans oublier que la règle de base, c'est BOOT USB/CD désactivé dans le BIOS, qui lui même est protégé par MDP
Le cache local il sert à rien
Les GPO n'ont aucune force sur une machine déconnectée avec accès admin.
Le chiffrement du disque dur, parlons en. Les clés sont généralement stockées en clair dans la RAM, tu les récupères facilement avec quelques softs bien sentis, y compris pour du PGP.
Si l'utilisateur a un accès au disque dur, ça veut dire qu'il sait le déchiffrer. Soit c'est un couple de clés privée/publique avec une passphrase, qui lui appartient, soit c'est un mdp qu'il connait. Dans les deux cas s'il veut pouvoir bosser, il doit avoir le mot de passe donc l'accès.
Le mot de passe au bios, ça se fait sauter sur un desktop en enlevant la pile et en shuntant rapidement les deux points qui la relient. Sur les laptops c'est plus difficile avec les puces TPM, qu'on commence à voir dans les desktop aussi d'ailleurs mais rarement utilisées en entreprise car mal connues et sans possibilité de gestion centralisée.
Tout ce que je t'explique là, je l'ai fait dans ma boite pour sécuriser la plateforme de R&D que j'ai montée et fait certifiée critères communs EAL5+, le plus haut niveau avant le militaire
C'est comme toujours, tout dépend où on place le curseur de la sécurité. En l'occurrence c'est mon taf de trouver des failles
Le grand classique.
Aurais du préciser, que boot possible uniquement sur le dd.
Si c'est un mot de passe bios autant dire qu'on boote sur ce qu'on veut
