V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wangbenjun5
V2EX  ›  信息安全

纯技术讨论破解安全措施

  •  
  •   wangbenjun5 · 2020-04-18 15:06:08 +08:00 via Android · 4655 次点击
    这是一个创建于 1709 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我司给发了一个笔记本,但是笔记本安装一些监控软件,就是那种可以截屏,监控你电脑里面安装了那些软件的东西,比如不能用微信,不能用网盘等等

    还有比如说,不用插 U 盘,不能 copy 一些东西,插上就报警,听同事有人试过。

    但是据我观察,这个笔记本并没有对 bios 设置密码,我完全可以用 U 盘再安装一个双系统,比如 ubuntu 或者 Mac 。理论上说,公司的安全策略都是基于 OS 的,我可以直接越过 OS,实际上还是有漏洞的。

    目前应该没有一种技术可以基于 bios 做安全策略的吧?
    第 1 条附言  ·  2020-04-18 16:36:56 +08:00
    此贴终结,只要启用了 bitlock 磁盘加密,破不了,无论是 pe 还是 Linux,根本无法读取磁盘数据。。。就算你把磁盘拔下来插到任何电脑里面都无法读取!
    30 条回复    2020-04-19 07:10:25 +08:00
    xupefei
        1
    xupefei  
       2020-04-18 15:08:45 +08:00 via iPhone
    很多年前就有基于 uefi 的安全程序了,很多惠普商务本都自带。
    但我觉得你公司应该不会做到这一步。
    redeemer1001
        2
    redeemer1001  
       2020-04-18 15:10:04 +08:00
    win 的话 bitlock 全盘加密 用户账户无管理员权限
    SunriseFox
        3
    SunriseFox  
       2020-04-18 15:10:37 +08:00
    bios 设置密码 开启安全启动之后就不能引导其它系统了... 再配合上全盘加密... 就能防止越过 OS 对数据做未授权的访问?
    wangbenjun5
        4
    wangbenjun5  
    OP
       2020-04-18 15:13:44 +08:00
    @xupefei 基于 uefi 的安全程序,也就是 bios 级别的?
    wangbenjun5
        5
    wangbenjun5  
    OP
       2020-04-18 15:14:06 +08:00
    @redeemer1001 但是我如果重装了一个系统,比如是 Linux,在 Linux 下访问 Windows 盘里面的数据没问题吧?
    wangbenjun5
        6
    wangbenjun5  
    OP
       2020-04-18 15:14:42 +08:00
    @SunriseFox 实测,bios 并没有设置密码,如果设置密码就无法 u 盘启动了,这是绝招
    wangbenjun5
        7
    wangbenjun5  
    OP
       2020-04-18 15:20:20 +08:00
    刚才有人提到了 bitlock 全盘加密,这个好像也是绝招,OS 级别的加密,只有该 OS 和秘钥才能解密,即使用 PE 或者 Linux,都是无法访问其数据的。。。
    mistree
        8
    mistree  
       2020-04-18 15:27:54 +08:00 via Android
    pci 内存读取 暴力可破
    wanacry
        9
    wanacry  
       2020-04-18 15:30:24 +08:00 via iPhone
    直接 wtg ?
    xcstream
        10
    xcstream  
       2020-04-18 15:52:57 +08:00
    可以破
    但是破了可以被发现
    dingyx99
        11
    dingyx99  
       2020-04-18 16:09:07 +08:00
    建议你去了解一下 Intel vPro,这种技术有了不少年了
    Xusually
        12
    Xusually  
       2020-04-18 16:54:17 +08:00
    不能用 u 盘很正常,如果能上网,不能用网盘怎么做到的?难不成监控浏览器开资源管理器?
    如果没做到这一步的话,只是类似于封禁常见网盘域名之类的话,你自己自建网盘就行了呗。或者 ssh terminal sz rz 这些工具。
    jim9606
        13
    jim9606  
       2020-04-18 16:59:17 +08:00
    UEFI 目前有 Secure Boot,这个只要正确配置足以扼杀安装其他系统的可能性。BIOS 密码+公司控制的 PK 、KEK 密钥库+公司 KEK 签名的 bootmgr 可以保证你只能装公司信任的系统。

    不过上面那个对大部分企业来说太复杂了,所以通常 OEM 的商务本都会有一些以此为基础的解决方案。

    如果只是保护数据那不用那么绝,TPM+Bitlock 操作系统加密+Bitlocker 网络解锁就够了,至少这套下来你用别的系统就读不出数据。
    wangbenjun5
        14
    wangbenjun5  
    OP
       2020-04-18 17:00:51 +08:00
    @Xusually 你想的太简单了,公司会监控网络的,你访问哪些域名看的一清二楚,即使用 ssh,你不怕记录键盘指纹吗?
    Jirajine
        15
    Jirajine  
       2020-04-18 17:05:11 +08:00 via Android   ❤️ 1
    敏感数据如果没有物理隔离,可以接入互联网的话再怎么搞都不安全。写个无界面的木马用私有加密协议就能泄露出去。
    nicebird
        16
    nicebird  
       2020-04-18 17:31:03 +08:00
    很多策略是有漏洞的,但是一般不会去突破漏洞,因为一但突破了,就可能被开除
    Xusually
        17
    Xusually  
       2020-04-18 17:35:17 +08:00
    @wangbenjun5 不限制你上网,如果是那些一般的行为审计软件什么的,不会做到你说的这种程度的,走加密传输和私有协议的话,就算知道域名和 ip 有什么用呢,不知你到底干了什么啊。你说到记录键盘,不一定要敲键盘啊。
    当然,既然你们电脑装了这软件,可以干什么,不可以干什么应该有个说明书,或者使用指引吧,你应该知道有什么限制才对。
    TransAM
        18
    TransAM  
       2020-04-18 17:37:30 +08:00 via Android
    手机拍照抗频域水印,同时利用手机的网上传也不被公司监控。
    kelestudio
        19
    kelestudio  
       2020-04-18 17:47:10 +08:00
    小心信息安全违规通报。
    Kiriya
        20
    Kiriya  
       2020-04-18 17:52:53 +08:00
    MAC 和 IP 绑定,账户加入域,在加个行为管理路由,不用记录键盘,你上了什么网后台一清二楚,连你的 QQ,微信聊天记录都一清二楚
    wangbenjun5
        21
    wangbenjun5  
    OP
       2020-04-18 17:58:21 +08:00
    @Kiriya QQ 、微信聊天记录不可能吧,都是私有加密协议,除非说是截屏做文字识别
    wangbenjun5
        22
    wangbenjun5  
    OP
       2020-04-18 17:58:56 +08:00
    @TransAM 监控探头警告
    Kiriya
        23
    Kiriya  
       2020-04-18 18:48:49 +08:00
    深信服了解下
    spadger
        24
    spadger  
       2020-04-18 19:13:46 +08:00
    换块硬盘用。
    arthurire
        25
    arthurire  
       2020-04-18 19:20:19 +08:00
    所以我上班自费买了一台 2W+的 MBP,公司问我就说你们给买我就用公司的.
    他们并不想花两万.
    james122333
        26
    james122333  
       2020-04-18 21:37:04 +08:00
    所以 UEFI 是非常讨人厌的东西
    产商写一写产生 bug 或恶意调整 就算机器是你的又如何? (滑稽)
    Nadao
        27
    Nadao  
       2020-04-18 21:49:47 +08:00
    @wangbenjun5

    是的,QQ 看不了的。当年 MSN 就可以看到,证明当年 QQ 已经比 MSN 先进。MSN 失败是技不如人。
    Nadao
        28
    Nadao  
       2020-04-18 21:51:45 +08:00   ❤️ 1
    @spadger @arthurire

    估计楼主是想要里面的数据,而不是想装个系统。
    mrcn
        29
    mrcn  
       2020-04-18 23:02:43 +08:00
    真正有用的是 Bitlocker,BIOS 层面的刷个正常 BIOS 就解决了。
    ryd994
        30
    ryd994  
       2020-04-19 07:10:24 +08:00 via Android
    @mistree 所以专用电脑有入侵检测。开盖就会清除 TPM,销毁密钥。而且从此不能再用于机密工作

    @Xusually 系统组策略,强制 VPN 到专用内网。啥都别想用。不给管理员权限,禁止任何非特定 CA 签名的程序运行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1126 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:38 · PVG 07:38 · LAX 15:38 · JFK 18:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.