纯技术讨论破解安全措施

我司给发了一个笔记本，但是笔记本安装一些监控软件，就是那种可以截屏，监控你电脑里面安装了那些软件的东西，比如不能用微信，不能用网盘等等

还有比如说，不用插 U 盘，不能 copy 一些东西，插上就报警，听同事有人试过。

但是据我观察，这个笔记本并没有对 bios 设置密码，我完全可以用 U 盘再安装一个双系统，比如 ubuntu 或者 Mac 。理论上说，公司的安全策略都是基于 OS 的，我可以直接越过 OS，实际上还是有漏洞的。

目前应该没有一种技术可以基于 bios 做安全策略的吧？

xupefei

2020-04-18 15:08:45 +08:00

很多年前就有基于 uefi 的安全程序了，很多惠普商务本都自带。
但我觉得你公司应该不会做到这一步。

SunriseFox

2020-04-18 15:10:37 +08:00

bios 设置密码开启安全启动之后就不能引导其它系统了... 再配合上全盘加密... 就能防止越过 OS 对数据做未授权的访问?

wangbenjun5

2020-04-18 15:14:06 +08:00

@redeemer1001 但是我如果重装了一个系统，比如是 Linux，在 Linux 下访问 Windows 盘里面的数据没问题吧？

wangbenjun5

2020-04-18 15:14:42 +08:00

@SunriseFox 实测，bios 并没有设置密码，如果设置密码就无法 u 盘启动了，这是绝招

wangbenjun5

2020-04-18 15:20:20 +08:00

刚才有人提到了 bitlock 全盘加密，这个好像也是绝招，OS 级别的加密，只有该 OS 和秘钥才能解密，即使用 PE 或者 Linux，都是无法访问其数据的。。。

Xusually

2020-04-18 16:54:17 +08:00

不能用 u 盘很正常，如果能上网，不能用网盘怎么做到的？难不成监控浏览器开资源管理器？
如果没做到这一步的话，只是类似于封禁常见网盘域名之类的话，你自己自建网盘就行了呗。或者 ssh terminal sz rz 这些工具。

jim9606

2020-04-18 16:59:17 +08:00

UEFI 目前有 Secure Boot，这个只要正确配置足以扼杀安装其他系统的可能性。BIOS 密码+公司控制的 PK 、KEK 密钥库+公司 KEK 签名的 bootmgr 可以保证你只能装公司信任的系统。

不过上面那个对大部分企业来说太复杂了，所以通常 OEM 的商务本都会有一些以此为基础的解决方案。

如果只是保护数据那不用那么绝，TPM+Bitlock 操作系统加密+Bitlocker 网络解锁就够了，至少这套下来你用别的系统就读不出数据。

wangbenjun5

2020-04-18 17:00:51 +08:00

@Xusually 你想的太简单了，公司会监控网络的，你访问哪些域名看的一清二楚，即使用 ssh，你不怕记录键盘指纹吗？

Jirajine

2020-04-18 17:05:11 +08:00

敏感数据如果没有物理隔离，可以接入互联网的话再怎么搞都不安全。写个无界面的木马用私有加密协议就能泄露出去。

nicebird

2020-04-18 17:31:03 +08:00

很多策略是有漏洞的，但是一般不会去突破漏洞，因为一但突破了，就可能被开除

Xusually

2020-04-18 17:35:17 +08:00

@wangbenjun5 不限制你上网，如果是那些一般的行为审计软件什么的，不会做到你说的这种程度的，走加密传输和私有协议的话，就算知道域名和 ip 有什么用呢，不知你到底干了什么啊。你说到记录键盘，不一定要敲键盘啊。
当然，既然你们电脑装了这软件，可以干什么，不可以干什么应该有个说明书，或者使用指引吧，你应该知道有什么限制才对。

Kiriya

2020-04-18 17:52:53 +08:00

MAC 和 IP 绑定，账户加入域，在加个行为管理路由，不用记录键盘，你上了什么网后台一清二楚，连你的 QQ,微信聊天记录都一清二楚

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/663751

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.