La tua preoccupazione non dovrebbe essere solo la "modalità di ripristino", ma anche quelle in cui Windows non è in uso. La maggior parte degli attacchi modifica il file SAM, che non è scrivibile quando il processo di Local Security Manager è in esecuzione. Questo file contiene le credenziali per il computer locale per consentire gli accessi. Il classico caso di aggirare questo è quando si avvia su un Live CD e si usano gli strumenti per modificare il file SAM, sia per cambiare le password che per annullarle.
L'unica cosa che può impedire modifiche non autorizzate è l'uso dell'utilità syskey integrata in Windows (XP / 7). Funziona come una "password di accesso universale", poiché un utente deve fornire una password per Windows per decrittografare il file SAM prima che inizi a utilizzarlo.
Quanto è sicuro il syskey, o se il blanking può ancora essere fatto, sinceramente non posso commentare. Il modo garantito per evitare manomissioni esterne sta utilizzando la crittografia dell'intero disco. Alcune versioni di Windows includono BitLocker, che può servire a questo scopo.
Altre soluzioni includono TrueCrypt, ma utilizzano nuovamente la crittografia dell'intero disco.
Se si desidera veramente testare le acque, è possibile utilizzare la crittografia integrata del file system in Windows. EFS (Encrypting File System) è legato alla tua password e ad altre credenziali, così che se qualcosa dovesse cambiare, i certificati per la crittografia sono "irrecuperabili". Anche in questo caso è disponibile solo in determinate versioni di Windows.