 |
1
xupefei Apr 18, 2020 via iPhone
很多年前就有基于 uefi 的安全程序了,很多惠普商务本都自带。
但我觉得你公司应该不会做到这一步。 |
 |
2
redeemer1001 Apr 18, 2020
win 的话 bitlock 全盘加密 用户账户无管理员权限
|
 |
3
SunriseFox Apr 18, 2020
bios 设置密码 开启安全启动之后就不能引导其它系统了... 再配合上全盘加密... 就能防止越过 OS 对数据做未授权的访问?
|
 |
4
wangbenjun5 OP @xupefei 基于 uefi 的安全程序,也就是 bios 级别的?
|
|
5
wangbenjun5 OP @redeemer1001 但是我如果重装了一个系统,比如是 Linux,在 Linux 下访问 Windows 盘里面的数据没问题吧?
|
|
6
wangbenjun5 OP @SunriseFox 实测,bios 并没有设置密码,如果设置密码就无法 u 盘启动了,这是绝招
|
|
7
wangbenjun5 OP 刚才有人提到了 bitlock 全盘加密,这个好像也是绝招,OS 级别的加密,只有该 OS 和秘钥才能解密,即使用 PE 或者 Linux,都是无法访问其数据的。。。
|
 |
8
mistree Apr 18, 2020 via Android
pci 内存读取 暴力可破
|
 |
9
wanacry Apr 18, 2020 via iPhone
直接 wtg ?
|
 |
10
xcstream Apr 18, 2020
可以破
但是破了可以被发现 |
 |
11
dingyx99 Apr 18, 2020
建议你去了解一下 Intel vPro,这种技术有了不少年了
|
 |
12
Xusually Apr 18, 2020
不能用 u 盘很正常,如果能上网,不能用网盘怎么做到的?难不成监控浏览器开资源管理器?
如果没做到这一步的话,只是类似于封禁常见网盘域名之类的话,你自己自建网盘就行了呗。或者 ssh terminal sz rz 这些工具。 |
 |
13
jim9606 Apr 18, 2020
UEFI 目前有 Secure Boot,这个只要正确配置足以扼杀安装其他系统的可能性。BIOS 密码+公司控制的 PK 、KEK 密钥库+公司 KEK 签名的 bootmgr 可以保证你只能装公司信任的系统。
不过上面那个对大部分企业来说太复杂了,所以通常 OEM 的商务本都会有一些以此为基础的解决方案。 如果只是保护数据那不用那么绝,TPM+Bitlock 操作系统加密+Bitlocker 网络解锁就够了,至少这套下来你用别的系统就读不出数据。 |
|
14
wangbenjun5 OP @Xusually 你想的太简单了,公司会监控网络的,你访问哪些域名看的一清二楚,即使用 ssh,你不怕记录键盘指纹吗?
|
 |
15
Jirajine Apr 18, 2020 via Android  1
敏感数据如果没有物理隔离,可以接入互联网的话再怎么搞都不安全。写个无界面的木马用私有加密协议就能泄露出去。
|
 |
16
nicebird Apr 18, 2020
很多策略是有漏洞的,但是一般不会去突破漏洞,因为一但突破了,就可能被开除
|
|
17
Xusually Apr 18, 2020
@wangbenjun5 不限制你上网,如果是那些一般的行为审计软件什么的,不会做到你说的这种程度的,走加密传输和私有协议的话,就算知道域名和 ip 有什么用呢,不知你到底干了什么啊。你说到记录键盘,不一定要敲键盘啊。
当然,既然你们电脑装了这软件,可以干什么,不可以干什么应该有个说明书,或者使用指引吧,你应该知道有什么限制才对。 |
 |
18
TransAM Apr 18, 2020 via Android
手机拍照抗频域水印,同时利用手机的网上传也不被公司监控。
|
 |
19
kelestudio Apr 18, 2020
小心信息安全违规通报。
|
 |
20
Kiriya Apr 18, 2020
MAC 和 IP 绑定,账户加入域,在加个行为管理路由,不用记录键盘,你上了什么网后台一清二楚,连你的 QQ,微信聊天记录都一清二楚
|
|
21
wangbenjun5 OP @Kiriya QQ 、微信聊天记录不可能吧,都是私有加密协议,除非说是截屏做文字识别
|
|
22
wangbenjun5 OP @TransAM 监控探头警告
|
|
23
Kiriya Apr 18, 2020
深信服了解下
|
 |
24
spadger Apr 18, 2020
换块硬盘用。
|
 |
25
arthurire Apr 18, 2020
所以我上班自费买了一台 2W+的 MBP,公司问我就说你们给买我就用公司的.
他们并不想花两万. |
 |
26
james122333 Apr 18, 2020
所以 UEFI 是非常讨人厌的东西
产商写一写产生 bug 或恶意调整 就算机器是你的又如何? (滑稽) |
 |
27
Nadao Apr 18, 2020
|
 |
29
mrcn Apr 18, 2020
真正有用的是 Bitlocker,BIOS 层面的刷个正常 BIOS 就解决了。
|
Select Language