能进入 WinPE 进行破解的情景是:想读取你数据的人物理上能摸到电脑和键盘,可以将 U 盘插入 USB母座 且电脑可以正确识别。
在这种情景下,这个人甚至可以拆出你硬盘带回基地,接入另一台电脑读取数据。如果他 喜欢/有必要,甚至可以直接抱走你的电脑慢慢读取你的数据。
说白了就是一个道理:计算机在物理接触后,一切认证安全就已经失去意义。
从根本上说:一般消费用户通常只在意自己的终端控制权。(只要我可以控制我的电脑,我的数据就是安全的。)真正在意数据安全的人会在意别人是否能读取有效数据。(即使数据到了别人手里,他也不能读取有效内容。)
两者面对的问题其实不是一个性质,区别在于:影响范围的大小。
保证有效数据不能直接读取,多数时候都意味着这些数据有非常高的价值。一般都是一些 用户隐私、客户资料、机密数据 等等,泄露就会对 某个群体、多个企业、乃至整个社会 造成非常大的影响。
就好比如果你的 社交帐号、微信支付宝账号、公安户口数据及其关系链 等等敏感数据被脱库解密后泄露给其他人,对你的影响总会有一点。而且泄露一般都是以 万 到 亿 为单位的,影响可不是一般的大。(联想今年 6 月份的 QQ 盗号批量发黄图的事件,你就清楚了)
保证设备只能是你用,意味着发生意外时, 你 这个个体会受到以下影响:失去设备的控制权(如果失窃)、你的资金变动(如果 设备 或 存储的数据 对你很重要)。
如果只是中毒了,你只需要重装一下系统。如果数据对你而言比较重要,你只需要动动手复制到其他存储介质就好了。
只要你的数据对于攻击者而言具有极高的价值,别人甚至愿意做“王牌特工”肉身入侵。反之,别人甚至都懒得 ping 你的出入口 IP。
回到主题,Windows 安全吗?
对系统层里保护消费者的终端控制权而言,已经足够安全,你觉得不够还可以装第三方杀毒软件。
数据安全方面,微软提供了 BitLocker 加密方案,Windows 之外还有 TPM 之类的方式从硬件层面保证数据安全,有些预装 Windows 的新设备还会提前打开加密功能。
目前来讲上述方案的破解成本都远高于绝大部分个人数据带来的价值。
要搭建较高安全等级的平台,可以试试这样:
- 给电脑加个绝对坚固的保险箱
- 所有 USB 设备都要经过使用口令解锁功能的 USB hub
- 设置 BIOS 管理口令
- 设置 启动口令 或 生物认证 启动(不是 系统 口令)
- 使用高安全的数据加密方案
- (如果需要)不接入可以直接或间接访问互联网的网络链路
转自:ChinaYuanGe 的知乎回答
用 Cookie 保存: 别名、Email