这是一个创建于 1672 天前的主题,其中的信息可能已经有所发展或是发生改变。
我司给发了一个笔记本,但是笔记本安装一些监控软件,就是那种可以截屏,监控你电脑里面安装了那些软件的东西,比如不能用微信,不能用网盘等等
还有比如说,不用插 U 盘,不能 copy 一些东西,插上就报警,听同事有人试过。
但是据我观察,这个笔记本并没有对 bios 设置密码,我完全可以用 U 盘再安装一个双系统,比如 ubuntu 或者 Mac 。理论上说,公司的安全策略都是基于 OS 的,我可以直接越过 OS,实际上还是有漏洞的。
目前应该没有一种技术可以基于 bios 做安全策略的吧?
还有比如说,不用插 U 盘,不能 copy 一些东西,插上就报警,听同事有人试过。
但是据我观察,这个笔记本并没有对 bios 设置密码,我完全可以用 U 盘再安装一个双系统,比如 ubuntu 或者 Mac 。理论上说,公司的安全策略都是基于 OS 的,我可以直接越过 OS,实际上还是有漏洞的。
目前应该没有一种技术可以基于 bios 做安全策略的吧?
第 1 条附言 · 2020-04-18 16:36:56 +08:00
此贴终结,只要启用了 bitlock 磁盘加密,破不了,无论是 pe 还是 Linux,根本无法读取磁盘数据。。。就算你把磁盘拔下来插到任何电脑里面都无法读取!
 |
1
xupefei 2020-04-18 15:08:45 +08:00 via iPhone
很多年前就有基于 uefi 的安全程序了,很多惠普商务本都自带。
但我觉得你公司应该不会做到这一步。 |
 |
2
redeemer1001 2020-04-18 15:10:04 +08:00
win 的话 bitlock 全盘加密 用户账户无管理员权限
|
 |
3
SunriseFox 2020-04-18 15:10:37 +08:00
bios 设置密码 开启安全启动之后就不能引导其它系统了... 再配合上全盘加密... 就能防止越过 OS 对数据做未授权的访问?
|
 |
4
wangbenjun5 OP @xupefei 基于 uefi 的安全程序,也就是 bios 级别的?
|
|
5
wangbenjun5 OP @redeemer1001 但是我如果重装了一个系统,比如是 Linux,在 Linux 下访问 Windows 盘里面的数据没问题吧?
|
|
6
wangbenjun5 OP @SunriseFox 实测,bios 并没有设置密码,如果设置密码就无法 u 盘启动了,这是绝招
|
|
7
wangbenjun5 OP 刚才有人提到了 bitlock 全盘加密,这个好像也是绝招,OS 级别的加密,只有该 OS 和秘钥才能解密,即使用 PE 或者 Linux,都是无法访问其数据的。。。
|
 |
8
mistree 2020-04-18 15:27:54 +08:00 via Android
pci 内存读取 暴力可破
|
 |
9
wanacry 2020-04-18 15:30:24 +08:00 via iPhone
直接 wtg ?
|
 |
10
xcstream 2020-04-18 15:52:57 +08:00
可以破
但是破了可以被发现 |
 |
11
dingyx99 2020-04-18 16:09:07 +08:00
建议你去了解一下 Intel vPro,这种技术有了不少年了
|
 |
12
Xusually 2020-04-18 16:54:17 +08:00
不能用 u 盘很正常,如果能上网,不能用网盘怎么做到的?难不成监控浏览器开资源管理器?
如果没做到这一步的话,只是类似于封禁常见网盘域名之类的话,你自己自建网盘就行了呗。或者 ssh terminal sz rz 这些工具。 |
 |
13
jim9606 2020-04-18 16:59:17 +08:00
UEFI 目前有 Secure Boot,这个只要正确配置足以扼杀安装其他系统的可能性。BIOS 密码+公司控制的 PK 、KEK 密钥库+公司 KEK 签名的 bootmgr 可以保证你只能装公司信任的系统。
不过上面那个对大部分企业来说太复杂了,所以通常 OEM 的商务本都会有一些以此为基础的解决方案。 如果只是保护数据那不用那么绝,TPM+Bitlock 操作系统加密+Bitlocker 网络解锁就够了,至少这套下来你用别的系统就读不出数据。 |
|
14
wangbenjun5 OP @Xusually 你想的太简单了,公司会监控网络的,你访问哪些域名看的一清二楚,即使用 ssh,你不怕记录键盘指纹吗?
|
 |
15
Jirajine 2020-04-18 17:05:11 +08:00 via Android  1
敏感数据如果没有物理隔离,可以接入互联网的话再怎么搞都不安全。写个无界面的木马用私有加密协议就能泄露出去。
|
 |
16
nicebird 2020-04-18 17:31:03 +08:00
很多策略是有漏洞的,但是一般不会去突破漏洞,因为一但突破了,就可能被开除
|
|
17
Xusually 2020-04-18 17:35:17 +08:00
@wangbenjun5 不限制你上网,如果是那些一般的行为审计软件什么的,不会做到你说的这种程度的,走加密传输和私有协议的话,就算知道域名和 ip 有什么用呢,不知你到底干了什么啊。你说到记录键盘,不一定要敲键盘啊。
当然,既然你们电脑装了这软件,可以干什么,不可以干什么应该有个说明书,或者使用指引吧,你应该知道有什么限制才对。 |
 |
18
TransAM 2020-04-18 17:37:30 +08:00 via Android
手机拍照抗频域水印,同时利用手机的网上传也不被公司监控。
|
 |
19
kelestudio 2020-04-18 17:47:10 +08:00
小心信息安全违规通报。
|
 |
20
Kiriya 2020-04-18 17:52:53 +08:00
MAC 和 IP 绑定,账户加入域,在加个行为管理路由,不用记录键盘,你上了什么网后台一清二楚,连你的 QQ,微信聊天记录都一清二楚
|
|
21
wangbenjun5 OP @Kiriya QQ 、微信聊天记录不可能吧,都是私有加密协议,除非说是截屏做文字识别
|
|
22
wangbenjun5 OP @TransAM 监控探头警告
|
|
23
Kiriya 2020-04-18 18:48:49 +08:00
深信服了解下
|
 |
24
spadger 2020-04-18 19:13:46 +08:00
换块硬盘用。
|
 |
25
arthurire 2020-04-18 19:20:19 +08:00
所以我上班自费买了一台 2W+的 MBP,公司问我就说你们给买我就用公司的.
他们并不想花两万. |
 |
26
james122333 2020-04-18 21:37:04 +08:00
所以 UEFI 是非常讨人厌的东西
产商写一写产生 bug 或恶意调整 就算机器是你的又如何? (滑稽) |
 |
27
Nadao 2020-04-18 21:49:47 +08:00
|
 |
29
mrcn 2020-04-18 23:02:43 +08:00
真正有用的是 Bitlocker,BIOS 层面的刷个正常 BIOS 就解决了。
|
Select Language