各位对个人电脑安全做到什么程度了？

为什么公司“违法”要传唤你？有点没搞懂，你们公司法务呢，法人和老板呢

@SAGAN 不用 TPM 也不安全哦，TPM 保护平台硬件、固件不被篡改。要安全你要 TPM + 口令双密钥。

全盘加密，比如 bitlocker 或 veracrypt 。建议后者，开启 filekey 。filekey 存在远程服务器上。

使用 Python 编写文件销毁程序，，尤其注意使用 DOD5220.22M 标准。C/S 架构，服务端用于 vps(地理位置位于境外)，客户端用于自己电脑。每隔几分钟，就发一个心跳包到 vps ，如果超过特定时间，vps 没收到心跳包，vps 上的程序则自动销毁 filekey 。

如果技术能力还可以，还可以写移动端。

利益相关，多的不便透露。总之一句话：只要你有编程能力，一切都很好办，需要啥就定制啥。

@silymore

如果 giftcard 是你自己信用卡 /paypal 买的，那么肯定可以啊。

@billlee

我认为 TPM+pin 并不会增加安全性。如果别人能够物理接触你的设备，完全可以把它替换为同一型号的另一台特制启动界面的电脑，然后诱使你在这台电脑上输入 pin 。获得 pin 后就可以解锁你原来的电脑了。

对于邪恶女佣攻击(Evil maid attack)，唯一的防范方式是一旦设备物理离开过自己的控制（并且可能被专业攻击者接触过），就认为这台设备不再可信。

而且 TPM + pin 最大的问题是，我找到的所有资料都显示 pin 并没有成为加密硬盘的主密钥的一部分(*)，而只是 TPM 提供的一种交互验证机制。TPM 里仍然单独保存着完整硬盘密钥。如果 TPM 有后门或者攻击者能够用某种方式(比如，DMA 攻击，cold boot attack 等)攻破 TPM ，就能直接解密硬盘。

* 例如微软的文档： https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-authentication-methods

TPM validates early boot components. The user must enter the correct PIN before the start-up process can continue, and before the drive can be unlocked. The TPM enters lockout if the incorrect PIN is entered repeatedly, to protect the PIN from brute force attacks. The number of repeated attempts that will trigger a lockout is variable.

朋友，跑路吧，别整技术了

ChromeOS 系统。 避开一些国产的网站、软件、服务等

所有的安全措施和密钥， 在一顿包着枕头的毒打，或者 24 小时不给休息喝水撒尿后， 就交代了。

去 google 搜索一下 computer anti forensics

除了楼上说的技术，建议 op 找个律师咨询咨询。
就像楼上说的，技术确实没法对抗暴力机关，但法律一定程度上可以保护自己。如果法律也不行，就只能积极配合。不过现在没证据定罪应该挺少的，具体需要找律师咨询。
人在矮檐下，保命最优先。技术只是手段，目的是受益最大，风险最小。

PS：楼上有说公安或国安可破解加密的，这观点没发证伪。就算能破解，也不是随随便便一个派出所能搞定的。

@mrzx 走移动流量，你司还能把基站控制了？还是你司搭建了伪基站给员工用？
你司的所谓流量分析，只不过是对公司网络。
移动流量能分析？
自己手动编译的 docker 和虚拟机能监控？
SSL 没证书能解密？
AES 、RSA 能解密？

真要有心，不用公司基建，软件不用公司下发的而是自己手动编译，再配合加密，调教下能监控么？
你司要是都能，你司这是要监控全球的节奏。只能说一个字，牛！！！

你司要是不能，就不要在这里 yao yan huo zhong 。

@xinghen57 我只说几点，公司是微软全家桶，365 一套，所有员工电脑都是 aad 账户登录，公司所有资源必须用公司电脑登录，在 aad 管控下，员工电脑形同裸奔。。。

当然，技术也有很多做不到的地方，就用规章制度来完善。

当然了，国内公司没几个用微软 365 ，及 SCCM 管理软件推送和升级，LAPS 的方案。。你认知以外的东西，当然不能理解，我不怪你。。。

@mrzx #92

我重申一下，我的假设是全程不用公司的软硬件，只提交最后的结果，你监控个锤子。
换个角度，真要搞事情，我跑个虚拟机，欢迎你司技术开发和硬件支持监控。当然不是你运维部门。

技术和制度都有极限，也有漏洞。请问你司的技术和管理是强过公检法，还是牛过国安局？杀人在逃、窃密间谍不照样存在？用着商业软件就觉得自己无敌了？商业软件没漏洞？

最后，你要觉得技术漏洞可以靠制度弥补，远的找清朝的制度读读，近的找党纪、公务员法和纪委发的违规违纪案例学学，看看制度弥补了多少技术的漏洞？最现实的，监狱的技术、制度、管理你觉得和你司比如何？你觉得监狱里天下太平人人老实服刑没人越狱么？

还认知以外的东西。你以为商业软件公司是科研机构，是探索未知世界，没事发篇论文获个奖？你说的这些，你自己去查查他们发展了多久，要解决什么问题。

真要说认知以为的，可能你需要补补课。你自己有想过怎么规避你司监管么？你自己有主动留意系统可能的漏洞么？
你不会。不是因为能力，而是你没这动力和意识。
你要是黑客，说上面那些还有点可信度。你一个运维部门的，夸自己公司的监管多么厉害，和王婆卖瓜有区别？
还认知意外的东西，简直贻笑大方。