К первому пункту сказанному mace-ftl diskcryptor 1. не знаю поддерживает ли он возможность ключа восстановления при многократном введении пароля с его последующей блокировкой. Например bitlocker ключи для восстановления пароля может оставлять в AD, на случай если пользователь заблокировал его сам или нет, либо вышел из строя usb носитель ключа если не использовать ручной ввод пароля. 2. Так же рекомендую для встроенной учетной записи администратора использовать разовые пароли но действующие на определенное время.