纯技术讨论破解安全措施

2020-04-18 15:06:08 +08:00
 wangbenjun5
我司给发了一个笔记本,但是笔记本安装一些监控软件,就是那种可以截屏,监控你电脑里面安装了那些软件的东西,比如不能用微信,不能用网盘等等

还有比如说,不用插 U 盘,不能 copy 一些东西,插上就报警,听同事有人试过。

但是据我观察,这个笔记本并没有对 bios 设置密码,我完全可以用 U 盘再安装一个双系统,比如 ubuntu 或者 Mac 。理论上说,公司的安全策略都是基于 OS 的,我可以直接越过 OS,实际上还是有漏洞的。

目前应该没有一种技术可以基于 bios 做安全策略的吧?
4655 次点击
所在节点    信息安全
30 条回复
xupefei
2020-04-18 15:08:45 +08:00
很多年前就有基于 uefi 的安全程序了,很多惠普商务本都自带。
但我觉得你公司应该不会做到这一步。
redeemer1001
2020-04-18 15:10:04 +08:00
win 的话 bitlock 全盘加密 用户账户无管理员权限
SunriseFox
2020-04-18 15:10:37 +08:00
bios 设置密码 开启安全启动之后就不能引导其它系统了... 再配合上全盘加密... 就能防止越过 OS 对数据做未授权的访问?
wangbenjun5
2020-04-18 15:13:44 +08:00
@xupefei 基于 uefi 的安全程序,也就是 bios 级别的?
wangbenjun5
2020-04-18 15:14:06 +08:00
@redeemer1001 但是我如果重装了一个系统,比如是 Linux,在 Linux 下访问 Windows 盘里面的数据没问题吧?
wangbenjun5
2020-04-18 15:14:42 +08:00
@SunriseFox 实测,bios 并没有设置密码,如果设置密码就无法 u 盘启动了,这是绝招
wangbenjun5
2020-04-18 15:20:20 +08:00
刚才有人提到了 bitlock 全盘加密,这个好像也是绝招,OS 级别的加密,只有该 OS 和秘钥才能解密,即使用 PE 或者 Linux,都是无法访问其数据的。。。
mistree
2020-04-18 15:27:54 +08:00
pci 内存读取 暴力可破
wanacry
2020-04-18 15:30:24 +08:00
直接 wtg ?
xcstream
2020-04-18 15:52:57 +08:00
可以破
但是破了可以被发现
dingyx99
2020-04-18 16:09:07 +08:00
建议你去了解一下 Intel vPro,这种技术有了不少年了
Xusually
2020-04-18 16:54:17 +08:00
不能用 u 盘很正常,如果能上网,不能用网盘怎么做到的?难不成监控浏览器开资源管理器?
如果没做到这一步的话,只是类似于封禁常见网盘域名之类的话,你自己自建网盘就行了呗。或者 ssh terminal sz rz 这些工具。
jim9606
2020-04-18 16:59:17 +08:00
UEFI 目前有 Secure Boot,这个只要正确配置足以扼杀安装其他系统的可能性。BIOS 密码+公司控制的 PK 、KEK 密钥库+公司 KEK 签名的 bootmgr 可以保证你只能装公司信任的系统。

不过上面那个对大部分企业来说太复杂了,所以通常 OEM 的商务本都会有一些以此为基础的解决方案。

如果只是保护数据那不用那么绝,TPM+Bitlock 操作系统加密+Bitlocker 网络解锁就够了,至少这套下来你用别的系统就读不出数据。
wangbenjun5
2020-04-18 17:00:51 +08:00
@Xusually 你想的太简单了,公司会监控网络的,你访问哪些域名看的一清二楚,即使用 ssh,你不怕记录键盘指纹吗?
Jirajine
2020-04-18 17:05:11 +08:00
敏感数据如果没有物理隔离,可以接入互联网的话再怎么搞都不安全。写个无界面的木马用私有加密协议就能泄露出去。
nicebird
2020-04-18 17:31:03 +08:00
很多策略是有漏洞的,但是一般不会去突破漏洞,因为一但突破了,就可能被开除
Xusually
2020-04-18 17:35:17 +08:00
@wangbenjun5 不限制你上网,如果是那些一般的行为审计软件什么的,不会做到你说的这种程度的,走加密传输和私有协议的话,就算知道域名和 ip 有什么用呢,不知你到底干了什么啊。你说到记录键盘,不一定要敲键盘啊。
当然,既然你们电脑装了这软件,可以干什么,不可以干什么应该有个说明书,或者使用指引吧,你应该知道有什么限制才对。
TransAM
2020-04-18 17:37:30 +08:00
手机拍照抗频域水印,同时利用手机的网上传也不被公司监控。
kelestudio
2020-04-18 17:47:10 +08:00
小心信息安全违规通报。
Kiriya
2020-04-18 17:52:53 +08:00
MAC 和 IP 绑定,账户加入域,在加个行为管理路由,不用记录键盘,你上了什么网后台一清二楚,连你的 QQ,微信聊天记录都一清二楚

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/663751

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX