这是一个创建于 2011 天前的主题,其中的信息可能已经有所发展或是发生改变。
我司给发了一个笔记本,但是笔记本安装一些监控软件,就是那种可以截屏,监控你电脑里面安装了那些软件的东西,比如不能用微信,不能用网盘等等
还有比如说,不用插 U 盘,不能 copy 一些东西,插上就报警,听同事有人试过。
但是据我观察,这个笔记本并没有对 bios 设置密码,我完全可以用 U 盘再安装一个双系统,比如 ubuntu 或者 Mac 。理论上说,公司的安全策略都是基于 OS 的,我可以直接越过 OS,实际上还是有漏洞的。
目前应该没有一种技术可以基于 bios 做安全策略的吧?
还有比如说,不用插 U 盘,不能 copy 一些东西,插上就报警,听同事有人试过。
但是据我观察,这个笔记本并没有对 bios 设置密码,我完全可以用 U 盘再安装一个双系统,比如 ubuntu 或者 Mac 。理论上说,公司的安全策略都是基于 OS 的,我可以直接越过 OS,实际上还是有漏洞的。
目前应该没有一种技术可以基于 bios 做安全策略的吧?
第 1 条附言 2020-04-18 16:36:56 +08:00
此贴终结,只要启用了 bitlock 磁盘加密,破不了,无论是 pe 还是 Linux,根本无法读取磁盘数据。。。就算你把磁盘拔下来插到任何电脑里面都无法读取!
 | 1 xupefei 2020-04-18 15:08:45 +08:00 via iPhone 很多年前就有基于 uefi 的安全程序了,很多惠普商务本都自带。 但我觉得你公司应该不会做到这一步。 |
 | 2 redeemer1001 2020-04-18 15:10:04 +08:00 win 的话 bitlock 全盘加密 用户账户无管理员权限 |
 | 3 SunriseFox 2020-04-18 15:10:37 +08:00 bios 设置密码 开启安全启动之后就不能引导其它系统了... 再配合上全盘加密... 就能防止越过 OS 对数据做未授权的访问? |
 | 4 wangbenjun5 OP @xupefei 基于 uefi 的安全程序,也就是 bios 级别的? |
| 5 wangbenjun5 OP @redeemer1001 但是我如果重装了一个系统,比如是 Linux,在 Linux 下访问 Windows 盘里面的数据没问题吧? |
| 6 wangbenjun5 OP @SunriseFox 实测,bios 并没有设置密码,如果设置密码就无法 u 盘启动了,这是绝招 |
| 7 wangbenjun5 OP 刚才有人提到了 bitlock 全盘加密,这个好像也是绝招,OS 级别的加密,只有该 OS 和秘钥才能解密,即使用 PE 或者 Linux,都是无法访问其数据的。。。 |
 | 8 mistree 2020-04-18 15:27:54 +08:00 via Android pci 内存读取 暴力可破 |
 | 9 wanacry 2020-04-18 15:30:24 +08:00 via iPhone 直接 wtg ? |
 | 10 xcstream 2020-04-18 15:52:57 +08:00 可以破 但是破了可以被发现 |
 | 11 dingyx99 2020-04-18 16:09:07 +08:00 建议你去了解一下 Intel vPro,这种技术有了不少年了 |
 | 12 Xusually 2020-04-18 16:54:17 +08:00 不能用 u 盘很正常,如果能上网,不能用网盘怎么做到的?难不成监控浏览器开资源管理器? 如果没做到这一步的话,只是类似于封禁常见网盘域名之类的话,你自己自建网盘就行了呗。或者 ssh terminal sz rz 这些工具。 |
 | 13 jim9606 2020-04-18 16:59:17 +08:00 UEFI 目前有 Secure Boot,这个只要正确配置足以扼杀安装其他系统的可能性。BIOS 密码+公司控制的 PK 、KEK 密钥库+公司 KEK 签名的 bootmgr 可以保证你只能装公司信任的系统。 不过上面那个对大部分企业来说太复杂了,所以通常 OEM 的商务本都会有一些以此为基础的解决方案。 如果只是保护数据那不用那么绝,TPM+Bitlock 操作系统加密+Bitlocker 网络解锁就够了,至少这套下来你用别的系统就读不出数据。 |
| 14 wangbenjun5 OP @Xusually 你想的太简单了,公司会监控网络的,你访问哪些域名看的一清二楚,即使用 ssh,你不怕记录键盘指纹吗? |
 | 15 Jirajine 2020-04-18 17:05:11 +08:00 via Android  1 敏感数据如果没有物理隔离,可以接入互联网的话再怎么搞都不安全。写个无界面的木马用私有加密协议就能泄露出去。 |
 | 16 nicebird 2020-04-18 17:31:03 +08:00 很多策略是有漏洞的,但是一般不会去突破漏洞,因为一但突破了,就可能被开除 |
| 17 Xusually 2020-04-18 17:35:17 +08:00 @wangbenjun5 不限制你上网,如果是那些一般的行为审计软件什么的,不会做到你说的这种程度的,走加密传输和私有协议的话,就算知道域名和 ip 有什么用呢,不知你到底干了什么啊。你说到记录键盘,不一定要敲键盘啊。 当然,既然你们电脑装了这软件,可以干什么,不可以干什么应该有个说明书,或者使用指引吧,你应该知道有什么限制才对。 |
 | 18 TransAM 2020-04-18 17:37:30 +08:00 via Android 手机拍照抗频域水印,同时利用手机的网上传也不被公司监控。 |
 | 19 kelestudio 2020-04-18 17:47:10 +08:00 小心信息安全违规通报。 |
 | 20 Kiriya 2020-04-18 17:52:53 +08:00 MAC 和 IP 绑定,账户加入域,在加个行为管理路由,不用记录键盘,你上了什么网后台一清二楚,连你的 QQ,微信聊天记录都一清二楚 |
| 21 wangbenjun5 OP @Kiriya QQ 、微信聊天记录不可能吧,都是私有加密协议,除非说是截屏做文字识别 |
| 22 wangbenjun5 OP @TransAM 监控探头警告 |
| 23 Kiriya 2020-04-18 18:48:49 +08:00 深信服了解下 |
 | 24 spadger 2020-04-18 19:13:46 +08:00 换块硬盘用。 |
 | 25 arthurire 2020-04-18 19:20:19 +08:00 所以我上班自费买了一台 2W+的 MBP,公司问我就说你们给买我就用公司的. 他们并不想花两万. |
 | 26 james122333 2020-04-18 21:37:04 +08:00 所以 UEFI 是非常讨人厌的东西 产商写一写产生 bug 或恶意调整 就算机器是你的又如何? (滑稽) |
 | 27 Nadao 2020-04-18 21:49:47 +08:00 |
 | 29 mrcn 2020-04-18 23:02:43 +08:00 真正有用的是 Bitlocker,BIOS 层面的刷个正常 BIOS 就解决了。 |
Select Language