我刚买了一台新笔记本电脑,想为它丢失或被盗做好准备。我关注以下功能:
- 远程管理
- 防止失去控制
到目前为止,我已经考虑了以下步骤:
- 禁用 USB 端口并在 BIOS 中安装管理员密码,以防止其他启动选项。
- 安装远程跟踪和管理服务,以定位并保持对笔记本电脑的控制。
- 创建一个具有有限访问权限的访客帐户,以允许更改互联网连接。
我找不到解决方案的唯一漏洞是使用全新 Windows 或任何其他操作系统替换硬盘。有解决方案吗?
我对如何保护我的数据(加密、备份等)不感兴趣,这些都是类似的帖子讨论的内容。
如果发生盗窃,我发现保留笔记本电脑识别标签的照片副本并注册笔记本电脑很有用。笔记本电脑注册包括在制造商的网站上创建一个帐户并提供笔记本电脑的序列号。如果警方介入,这和购买账单可以证明这是你的笔记本电脑。
最好有一个通用的解决方案,针对每个单独的操作系统平台(Windows、Macintosh、Linux)进行描述。下面是我之前提供的每个步骤的示例:
- Windows/Linux 上也一样,但取决于 BIOS 功能。在 Macintosh 上,我听说 BIOS 不可配置。
- 一个独立于平台的解决方案是猎物计划。
- 在 Macintosh 上,内置的 Guest 帐户似乎合适。Windows 和 Linux 需要创建具有适当权限的自定义用户。
总之,如何确保硬盘更换安全?此外,欢迎就此问题采用完全不同的方法。
答案1
我不知道除了苹果以外还有没有其他人拥有这种技术,但是苹果的 T2 芯片这使得更换启动驱动器几乎不可能。
目前大多数笔记本电脑的驱动器都是焊接的,根本无法更换,这使得这种情况更不可能发生。
加密也直接与硬件相关。
本质上,这是像 iPhone 上的“硬件加密”——偷了它,你就拥有了一块漂亮的砖头。
提炼
Apple T2 安全芯片在闪存和主系统内存之间的 DMA 路径中内置了专用的 AES 加密引擎,使得使用带有 AES-XTS 的 FileVault 进行内部卷加密非常高效。
Mac 唯一 ID (UID) 和设备组 ID (GID) 是制造过程中融合 (UID) 或编译 (GID) 到安全区域中的 AES 256 位密钥。
任何软件或固件都无法直接读取密钥。这些密钥只能由安全区域中专用的 AES 引擎使用。此专用 AES 引擎仅提供其执行的加密或解密操作的结果。UID 和 GID 无法通过 JTAG 或其他调试接口获得。由于 UID 对于每台设备都是唯一的,并且完全在 Secure Enclave 内生成,而不是在设备外部的制造系统中生成,因此 Apple 或任何 Apple 供应商都无法访问或存储 UID 密钥。在 Secure Enclave 上运行的软件利用 UID 来保护设备特定的机密,例如 Touch ID 数据、FileVault 类密钥和 Keychain。
UID 允许将数据以加密方式绑定到特定设备。例如,保护文件系统的密钥层次结构包括 UID,因此如果内部存储介质从一台设备物理移动至另一台设备,则其中包含的文件将无法访问。UID 与设备上的任何其他标识符无关。此架构构成了安全内部卷加密的基础。