Windows 笔记本如何最大保护在遗失或被偷的情况下不泄漏数据。

185 天前
 Lam1Lam
看到网上好多咨询和教程都在说教 Windows 可以通过安全模式下设置 admin 密码,或者通过 PE 系统去破解,那 windows 有什么办法可以保护电脑在被偷或者遗失的情况下保护数据不会被窃取吗?因为有用过 macos 和 linux ,如果是 macos 没有同步密码到 iCloud ,基本上很难破解,Linux 据我所了解也没有相关办法可以轻易破解密码? Windows 可以加密系统而不影响使用速度吗?
本人小白,虚心请教。
3117 次点击
所在节点    信息安全
36 条回复
Biggoldfish
185 天前
BitLocker
venompool88
185 天前
bitlocker ,现在笔记本出厂默认开启
Jacquesx
185 天前
笔记本的话基本上都带 TPM 芯片+Windows11 的最低要求:所以现在主流笔记本首次开机/重装激活 windows 都默认开启 bitlocker ,此时如果用 U 盘 PE 启动,经过 bitlocker 加密的盘都需要密钥才能解锁,如果强拆硬盘破解,改动主板任何硬件都会在 bios 时候就弹出解锁 C 盘密钥才能继续引导 windows 启动(当然公安部门使用的专业取证的工具和技术除外)

台式机的话看主板有没有 TPM 芯片,有的话一样开启 bitlocker 就行了
Jacquesx
185 天前
另外最主要的还是密码强度,再厉害的硬件加密技术没有强密码也白搭,就好比保险柜密码是 0000 ,再安全的保险柜也挡不住弱密被枚举撞库
yyzh
185 天前
@Jacquesx 所以现在一般笔记本都有 windows hello 或者指纹识别了
Jacquesx
185 天前
@yyzh 而且 windows hello 这一套都是和 TPM 联动的,之前 ThinkPad 的指纹坏了,在闲鱼买了个拆机的指纹模块,换上之后直接弹 32 位 bitlocker 密钥,本地又没保存,去微软账户上面找的云备份密钥才解开的
chanwang
185 天前
VeraCrypt 全盘加密。
chanwang
185 天前
抱歉,没有认真看主题前面回错了。安全和便捷是相悖的。加密又不影响使用速度是不可能的。
LanhuaMa
185 天前
Bitlocker 又名数据火葬场,密钥和你的机器强绑定。出了问题就算你拆下来插到别的机器上也恢复不了,随随便便进个水就可以要你命。最后大概率是把自己防出去了

如果真的是敏感数据,建议*加密*储存在可靠云盘或者自家 NAS 里,电脑丢失随时可以关闭权限。数据非要随身带不可的,用 VeraCrypt 加密随身硬盘或者 U 盘,但是要记得备份数据。
ysc3839
185 天前
@LanhuaMa 否的。iOS 、Android 、macOS 的加密才是和硬件强绑定。
BitLocker 只是默认把其中一个密钥存储到 TPM 中,除了这个密钥外还有一个独立的恢复密钥,只要有这个恢复密钥就能解密。
JF65851a20L5hj7v
185 天前
@LanhuaMa 买一支铅笔,拿一张便签纸,把 48 个数字+7 个连字符亲手抄写一遍,很难吗?不难吧😅
DaCong
185 天前
说说我之前了解过的一些相关的东西:
在电脑失窃的情况下想要保护数据(据我所知)都得依赖全盘加密,否则完全可以拆下硬盘放到别的机器上面读取。
新一点的电脑安装的 Windows 系统默认开启了 BitLocker 其实就是一种全盘加密的方案,平时感觉不到只是因为主板上的 TPM 芯片里面密钥会自动在启动的时候解密硬盘。

如果更进一步想要防御 evil maid attack: https://en.wikipedia.org/wiki/Evil_maid_attack
可以考虑给 UEFI 加上密码,防止 secure boot 功能被关闭/更改,以此来防止攻击者替换启动引导(secure boot 就是在确保只有被签名过的 boot loader 能在机器上面启动)。基本上市面上买到的主板的 UEFI 里面都会内置微软的 pulic key ,使得被微软签名过的 windows boot loader 能够“默认”在 secure boot 下启动。而如果是自己想要安装 Linux ,往往需要先 disable secure boot 也是这个原因。当然在安装完成之后,可以生成自己的 key 并给 Linux kernel 签名然后在 UEFI 里面 enroll 这个 key 也就可以启用 secure boot 了。

其实现代一点的 OS 和稍微现代一点的支持 TPM-based secure boot 的硬件的结合在正确配置的情况下,并不存在网上说的轻易被破解的情况。只是这些功能有时候没有被正确开启。
ShinichiYao
185 天前
@venompool88 非常恶心,默认开启就该在第一次启动就通知用户备份密钥,不然笔记本出点问题自己都拿不回数据,现在新买的笔记本第一时间就是解除 BitLocker 加密
dode
185 天前
老旧设备,开启 bios 密码,每次开机输入密码

最新 win11 ,默认全盘加密,支持生物识别登录
vvhy
185 天前
bitlocker 影响硬盘性能
Zaden
185 天前
bitlocker+nas 实时数据备份,记得保存好密钥
vvxsin
185 天前
不要分盘~一个 c 盘,应该就能解决大部分的问题。
Mithril
185 天前
开 Bitlocker 就可以了,但要记得不要把 Bitlocker 的密码写成纸条贴笔记本上。

另外恢复密钥保存好就行。
processzzp
185 天前
@vvhy 2011 年的 Sandy Bridge 处理器就支持 AES-NI 加速了,现在是 2024 年,请问您是什么古董电脑爱好者吗?还是说你家里有数据中心,读写速度少了 10MB/s 就会损失几万亿的市值?
fairytale
185 天前
bitlocker 任意时候都可以主动去备份密钥,所以买到新电脑第一时间是备份密钥,而不是关闭它。ssd 跑分性能损失 1%左右吧,毫无感觉。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1051019

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX