V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Lam1Lam
V2EX  ›  信息安全

Windows 笔记本如何最大保护在遗失或被偷的情况下不泄漏数据。

  •  
  •   Lam1Lam · 166 天前 via iPhone · 3069 次点击
    这是一个创建于 166 天前的主题,其中的信息可能已经有所发展或是发生改变。
    看到网上好多咨询和教程都在说教 Windows 可以通过安全模式下设置 admin 密码,或者通过 PE 系统去破解,那 windows 有什么办法可以保护电脑在被偷或者遗失的情况下保护数据不会被窃取吗?因为有用过 macos 和 linux ,如果是 macos 没有同步密码到 iCloud ,基本上很难破解,Linux 据我所了解也没有相关办法可以轻易破解密码? Windows 可以加密系统而不影响使用速度吗?
    本人小白,虚心请教。
    36 条回复    2024-06-21 10:45:27 +08:00
    Biggoldfish
        1
    Biggoldfish  
       166 天前 via Android
    BitLocker
    venompool88
        2
    venompool88  
       166 天前 via Android
    bitlocker ,现在笔记本出厂默认开启
    Jacquesx
        3
    Jacquesx  
       166 天前 via iPhone
    笔记本的话基本上都带 TPM 芯片+Windows11 的最低要求:所以现在主流笔记本首次开机/重装激活 windows 都默认开启 bitlocker ,此时如果用 U 盘 PE 启动,经过 bitlocker 加密的盘都需要密钥才能解锁,如果强拆硬盘破解,改动主板任何硬件都会在 bios 时候就弹出解锁 C 盘密钥才能继续引导 windows 启动(当然公安部门使用的专业取证的工具和技术除外)

    台式机的话看主板有没有 TPM 芯片,有的话一样开启 bitlocker 就行了
    Jacquesx
        4
    Jacquesx  
       166 天前 via iPhone
    另外最主要的还是密码强度,再厉害的硬件加密技术没有强密码也白搭,就好比保险柜密码是 0000 ,再安全的保险柜也挡不住弱密被枚举撞库
    yyzh
        5
    yyzh  
       166 天前
    @Jacquesx 所以现在一般笔记本都有 windows hello 或者指纹识别了
    Jacquesx
        6
    Jacquesx  
       166 天前 via iPhone
    @yyzh 而且 windows hello 这一套都是和 TPM 联动的,之前 ThinkPad 的指纹坏了,在闲鱼买了个拆机的指纹模块,换上之后直接弹 32 位 bitlocker 密钥,本地又没保存,去微软账户上面找的云备份密钥才解开的
    chanwang
        7
    chanwang  
       166 天前 via Android
    VeraCrypt 全盘加密。
    chanwang
        8
    chanwang  
       166 天前 via Android
    抱歉,没有认真看主题前面回错了。安全和便捷是相悖的。加密又不影响使用速度是不可能的。
    LanhuaMa
        9
    LanhuaMa  
       166 天前   ❤️ 1
    Bitlocker 又名数据火葬场,密钥和你的机器强绑定。出了问题就算你拆下来插到别的机器上也恢复不了,随随便便进个水就可以要你命。最后大概率是把自己防出去了

    如果真的是敏感数据,建议*加密*储存在可靠云盘或者自家 NAS 里,电脑丢失随时可以关闭权限。数据非要随身带不可的,用 VeraCrypt 加密随身硬盘或者 U 盘,但是要记得备份数据。
    ysc3839
        10
    ysc3839  
       166 天前 via Android   ❤️ 1
    @LanhuaMa 否的。iOS 、Android 、macOS 的加密才是和硬件强绑定。
    BitLocker 只是默认把其中一个密钥存储到 TPM 中,除了这个密钥外还有一个独立的恢复密钥,只要有这个恢复密钥就能解密。
    JF65851a20L5hj7v
        11
    JF65851a20L5hj7v  
       166 天前 via iPhone   ❤️ 1
    @LanhuaMa 买一支铅笔,拿一张便签纸,把 48 个数字+7 个连字符亲手抄写一遍,很难吗?不难吧😅
    DaCong
        12
    DaCong  
       166 天前
    说说我之前了解过的一些相关的东西:
    在电脑失窃的情况下想要保护数据(据我所知)都得依赖全盘加密,否则完全可以拆下硬盘放到别的机器上面读取。
    新一点的电脑安装的 Windows 系统默认开启了 BitLocker 其实就是一种全盘加密的方案,平时感觉不到只是因为主板上的 TPM 芯片里面密钥会自动在启动的时候解密硬盘。

    如果更进一步想要防御 evil maid attack: https://en.wikipedia.org/wiki/Evil_maid_attack
    可以考虑给 UEFI 加上密码,防止 secure boot 功能被关闭/更改,以此来防止攻击者替换启动引导(secure boot 就是在确保只有被签名过的 boot loader 能在机器上面启动)。基本上市面上买到的主板的 UEFI 里面都会内置微软的 pulic key ,使得被微软签名过的 windows boot loader 能够“默认”在 secure boot 下启动。而如果是自己想要安装 Linux ,往往需要先 disable secure boot 也是这个原因。当然在安装完成之后,可以生成自己的 key 并给 Linux kernel 签名然后在 UEFI 里面 enroll 这个 key 也就可以启用 secure boot 了。

    其实现代一点的 OS 和稍微现代一点的支持 TPM-based secure boot 的硬件的结合在正确配置的情况下,并不存在网上说的轻易被破解的情况。只是这些功能有时候没有被正确开启。
    ShinichiYao
        13
    ShinichiYao  
       166 天前
    @venompool88 非常恶心,默认开启就该在第一次启动就通知用户备份密钥,不然笔记本出点问题自己都拿不回数据,现在新买的笔记本第一时间就是解除 BitLocker 加密
    dode
        14
    dode  
       166 天前
    老旧设备,开启 bios 密码,每次开机输入密码

    最新 win11 ,默认全盘加密,支持生物识别登录
    vvhy
        15
    vvhy  
       166 天前
    bitlocker 影响硬盘性能
    Zaden
        16
    Zaden  
       166 天前
    bitlocker+nas 实时数据备份,记得保存好密钥
    vvxsin
        17
    vvxsin  
       166 天前
    不要分盘~一个 c 盘,应该就能解决大部分的问题。
    Mithril
        18
    Mithril  
       166 天前
    开 Bitlocker 就可以了,但要记得不要把 Bitlocker 的密码写成纸条贴笔记本上。

    另外恢复密钥保存好就行。
    processzzp
        19
    processzzp  
       166 天前
    @vvhy 2011 年的 Sandy Bridge 处理器就支持 AES-NI 加速了,现在是 2024 年,请问您是什么古董电脑爱好者吗?还是说你家里有数据中心,读写速度少了 10MB/s 就会损失几万亿的市值?
    fairytale
        20
    fairytale  
       166 天前 via Android
    bitlocker 任意时候都可以主动去备份密钥,所以买到新电脑第一时间是备份密钥,而不是关闭它。ssd 跑分性能损失 1%左右吧,毫无感觉。
    Yanlongli
        21
    Yanlongli  
       166 天前
    BitLocker, 开启后的密钥备份到其它地方,这样当计算机因跌打损伤时,可以将硬盘在其它机器上恢复。
    hwf
        22
    hwf  
       165 天前
    MacOS 可以在启动的时候进入恢复模式, 然后通过命令行重置密码..
    lxh1983
        23
    lxh1983  
       165 天前
    @LanhuaMa 有恢复密钥插到哪里都可以解密
    0o0O0o0O0o
        24
    0o0O0o0O0o  
       165 天前   ❤️ 1
    @DaCong #12 这能抵御一部分物理攻击,但我觉得想抵御 evil maid 的话几乎只有不让设备离开你的视线,例如可以给你只保留一个外壳
    lxh1983
        25
    lxh1983  
       165 天前
    @chanwang 可以用三星的硬盘,Bitlocker 使用硬盘的硬件加密引擎,目前看是不影响速度
    gefranks
        26
    gefranks  
       165 天前
    在中国制造销售的电脑的 TPM 跟在美国制造销售的电脑的 TPM 是不是有什么区别?
    kenvix
        27
    kenvix  
       165 天前
    @LanhuaMa #9 不懂可以不要乱说
    EVANGELIONAir
        28
    EVANGELIONAir  
       165 天前
    你说的这种情况本质就是属于物理丢失范畴,你放隔壁 Linux 发行版也是 grub 能进菜单照样直接改 root 的,物理丢失情况下除了硬件加密怎么会有软件层面防盗的可能性。
    CatCode
        29
    CatCode  
       165 天前   ❤️ 1
    用 BitLocker 记得在组策略里面启用“此计算机锁定时禁用新的 DMA 设备”
    chf007
        30
    chf007  
       165 天前
    可以看看 Cryptomator
    emonc
        31
    emonc  
       165 天前
    可以用 Cryptomator ,只加密敏感数据。
    Lexgni
        32
    Lexgni  
       165 天前
    @ShinichiYao 登录 Microsoft 账户的话会自动同步的,打开网页就能看到
    mylovesaber
        33
    mylovesaber  
       165 天前   ❤️ 3
    楼上都说的是 win 的保护,linux 下如果没有做加密的话,直接将硬盘 dd 一份备份,然后挂载硬盘用 chroot 进去改 root 密码,然后退出 chroot 重启电脑就能进系统了,各种数据随便复制出来。等把系统中的数据偷得差不多后,再重启进 pe ,把之前的备份 dd 回去即可做到神不知鬼不觉得偷数据,加密的我暂时还没试过不确定这是否可行。

    我之前做一个涉密项目时遇到过一个竞争对手联合甲方一起偷代码的情况,我们组被偷代码的开发人员就是图省事,驻场下班时不带电脑回去,导致我们丢了几百万的一个项目。所以保密培训的时候老总特地把我们组的糗事当反面教材和各种出卖国家机密的案件放一起来讲课。。。
    JF65851a20L5hj7v
        34
    JF65851a20L5hj7v  
       165 天前 via iPhone
    @mylovesaber 哈哈哈哈哈,世界就是个巨大的草台班子
    proxytoworld
        35
    proxytoworld  
       165 天前
    @mylovesaber 这不是犯法吗
    mylovesaber
        36
    mylovesaber  
       164 天前 via Android
    @proxytoworld 是的,但是人家规模大到检察院面对蝼蚁的起诉都可以听他们的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6058 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:43 · PVG 10:43 · LAX 18:43 · JFK 21:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.