探讨防止终端信息泄漏的主流方式以及基础架构部存在的必要性| 总第261周
文化
科技
2024-09-18 17:03
甘肃
话题一:关于终端信息防泄露。如何防止使用启动u盘的方式拿走终端的文件(bios密码也不好统管),或者极端点把硬盘拿回家情况,如何防止文件泄露。Q:请教有什么主流好用的方式?听说文件加密的方式兼容性问题会比较多。A1:上EDLP,硬盘加密也可以。目前有做全盘加密的,也有做文档加密的。A3:你要防这个只能把主板上usb口全部拆了,鼠标键盘加ps/2口,机箱加锁,但造成的硬件运维不便代价很大。A4:用零信任沙箱的话所有应用系统都要对接,对我们来说改动太大,不太想弄。A5:bios禁用usb启动,然后bios做好密码。A6:bios加密,主板厂商都可以做定制bios了,如果有这块的投入可以了解一下,主流的那几个PC厂商都有对应的解决方案,即便是传统的那种什么拆电池啥的之类的也无法破除bios密码。A7:接入统一认证系统,现在通过沙箱可以访问一些非生产类系统,还是比较方便,安全也得到控制,bios密码很难管理,如果约定统一密码,那很快会外泄,意义不大。![]()
Q:谁了解定制BIOS具体定制成什么样?比如直接就不允许u盘启动?A9:允许还是要允许的,类似指定的UKEY文件去启动,比如你们提供一批USB去到bios里生成对应的key,后续就只有这个u盘可以启动,厂商定制化的可以定一批U盘做key,找一下几大PC厂商去聊聊看就好了。A10:感觉定制bios还有点可行性,比如都不能u盘启动,我们行都是一体机拔硬盘还不是很方便。A11:很考验公司的主板供应商。基本上就把PC厂商给固定化了,但是主流的那几个大厂商都能做了,他们在行业里应该也统一标准了。A12:比较怀疑。服务器市场都做不到,PC就行么,最多是有限的统一。A13:bios加密码,比较标准的做法。也可以上无盘工作站或者云桌面。A1:这……这不是伪命题吗?你可以讨论一个工种,做某些事的组织结构,但部门该不该存在从来都是强相关于组织的,要不要先进技术也是强相关于组织的,不带背景限制的这种争论的意义在哪,最终只能是都对,适合我,不适合我,而且不同公司的部门咋可能都有一样的优点或缺点。A2:反而说什么都说和组织相关,那就很容易把人变废脑子了,因为什么都可以往组织不一样赖,缺乏动脑的动力,无法进行任何方法论的提炼了。A4:我们解散,又复建,近年又在累积质疑声,马工帖子在我们楼层疯传,但不敢逆鳞发圈,只能说有争鸣就是大进步。平台工程是新概念,但平台工程实践不是从零出发,而是带着沉没成本出发,可能延续的风险就是封装和限制太多,变成内部人员必须掌握的内部“操作系统”,进而形成文明锁定。
A5:核心问题出在内部技术产品上,我在内部写了一篇技术产品的反思。国内技术人员通过开源学会了先进技术,但没学会如何构建成熟的技术产品。内部技术产品更是一旦和部门政治斗争混杂在一起就迅速劣化。A6:道理没错,不过适用范围或者背景也要提炼,不然鸡同鸭讲了,在互联网上,获得赞靠的不是道理,而是情绪,“赞”就是这么个东西。A7:和这两年讨论比较多的要不要建中台是一个命题吧,确实和业务有很大关系,大规模多元业务的,有自主合规建设需求的,基本都有类似中台的团队,不追求技术能力提升,平台也没法稳定保障业务,确实也见过些企业经营业绩非常好,但基础设施都在云上跑的,一般都是监管不太严格的行业。A8:其实我从第一篇就没明白:假设有一个数据中心部门,里面有一个A团队负责云底座魔改调参,B团队负责监控平台,C团队负责开发发布平台,D团队负责大模型底座,当然还有其它团队负责网络、服务器、等等,那么在以下情况,在你们争论是视同一样的么?你们争论的到底是职能部门还是岗位?没有独立的基础架构部,但有做这些事的人,剥离掉不需要开发的部分,剩余的全部成立一个基础架构部,其中个别成立一个基础架构部,例如ABD。A9:基础架构部门原罪就是养那么多人,成本太高,没有直接产出。A10:我觉得原罪倒不是这个,机房服务器成本也很高,也没有直接产出,不会有人质疑它的必要性 而是基础架构部如果没有核心技术,搞些开源的,又守旧,像马工说的,提个权限要打报告,加个监控不支持业务,阻碍发展,开发火起来完全可以另立山头,自己又不是不会搭,那就是基础架构部的原罪了。A11:基础架构一般不是开始就有,一般因为开发或者运维需要从而成立的。那么,多数人在新成立部门后,个人和部门的目标会设置成什么样?有多少人能坚持基础架构职能的初心?所以那自然就会变成文章里的问题。这里只说大多数,不说全部。A12:上面说了8条原则,难道马工不知道基础架构部应该做什么?说没有存在必要有点儿想开窗就把屋顶掀了的意思,真没基础架构了,云底座问题、内核问题他也自己去解决?调参魔改,乃至光做一个标准化确实对组织内也是有很大价值的。而且A公司的基础架构能和B公司的基础架构一样吗,所以我一开始都不想搭理,但如果你限定了条件:就开源搭搭,维护下,开发自己也掌握技能。好,那就限定这个场景。不追新而是追稳,这个就更加符合金融特色了,什么叫“优秀”?大家的标准不一样,但肯定不是新技术就优秀。A13:基础设施服务器贵,但是采购这个过程是有利益共同体的,基础架构部都是养人的部门工资还贵,没有利益共同体。A14:回到那个问题“基础架构岗”是一定有的,即使只有几个人负责,也得有,不然开发监控都就乱了“基础架构部”,那是山头问题,谁和谁平级问题,向谁汇报的问题,必须看组织规模和模式,真不是技术问题。A15:作用肯定是有的,问题的关键是要不要养那么多人专门做这个?或者什么样的企业才有必要搞这个基础架构部门。他们争论时都没带上有多少人、什么样的企业,甚至没有一篇去尝试定义它的职能范围,说没用的和说有用的背景定义都不一样,可谓圈地自萌,这能争出个结果?A16:自建基础设施,做多云管理,长期看很多企业都证明了是省钱的,这是企业的IT战略,如果要自建基础设施,人太少的没什么意义,根本无法保障稳定、可靠和安全。A17:业务好,都不是问题;业务不好,都是问题。自建要有实力。很多云厂商坐地起价,收费办法五花八门,下云也很难。![]()
A18:这个本质上还是公司不同阶段,不同业务形态和不同的经营效率下产生的管理需求。 比如在小公司或是早期阶段,基本由研发部门自己来规划安排了,不需要独立部门。等公司业务变大,对技术要求变高,ROI变高时就会需要独立部门来负责,不然技术瓶颈出现就影响业务发展了。但也可能是公司业务类型变多,存在大量重复建设,也会需要独立部门来统筹避免公司资金浪费。但如果公司业务开始转移到云上,原有的很多能力要求由云来提供,那么对应的岗位和需求都会下降,如果业务彻底变成不需要考虑底层,完全依赖云,那么不需要独立部门也是成立的。所以很难有一个标准线,每家公司情况可能都不一样。嗯,又想了想,云应是没办法完全承接所有的,会缩小规模但不会是全替代。A19:不是这个原因,原因在于即使全云上,也不可能所有的研发同学都懂用好云,所以容易出现很多垃圾用云的方式,安全风险,浪费风险等等等等,这个时候,还是需要有基架的人做好各位护栏和辅导。A20:如果只是用好云,如果是公有云对能力要求是在下降,或者是技能要求发生了转变到用好云,那会不会出现原来基架职能需求被弱化了,会被以其他形式将现在职能整合到其他部门去了。A21:还得看公司是否有一个非常专业的云团队整体把关各个部门对云的使用和采购规范,网络划分,VPC之间东西向的打通,比如什么情况下买什么产品,而不是过多的购买。如果每个业务团队或者开发团队自己开帐号自己搞一套,那是灾难。A22:这里写的也不完全符合现实情况,在实践中,感觉基础架构的大牛同学也没办法帮我解决很多深层次的、业务特性密切相关的可用性问题,还是要自己团队的业务研发搞可用性架构治理。如果能深入进来做是可以的,但是基础架构又不会太深入具体业务。A23:是那些架构做的太浅了,止步于运营相关的变更三板斧,可用性更本质的架构要求没有深入分析。是不是更需要深入服务业务场景的精神,其次是先进的技术。A24:业务特性当然就业务自己搞,否则,很多人又说基础架构啥都干。而且为了某些目标可能还经常加一些实际用途不大的流程。A25:这么多业务团队,基架个个都帮忙,那么基架就是个瓶颈。而且业务研发拿的工资不干业务特性的事?A26:基础架构不了解业务,可能就需要业务去反向适配他的基础设施,成本很高的。而且很容易因为基础架构的变更搞个业务应用的故障,如果小一点规模肯定没问题,可以沟通,规模大了,不可能全依靠沟通的。A27:本来就是应该双向匹配的,但国内的内部技术产品设计定位上有严重缺失,不是技术的问题,是产品的问题,但国内技术产品普遍缺乏专业管理体系。![]()
A28:有个点,我觉得是我们公司的特性,没拿出来说:基础架构提供的是服务还是卡点,如果用着不顺手,允不允许别人另起炉灶,反正我们公司是会评审的,核心业务必须按主流架构走,保障的安全稳定可靠,不要你瞎创新。创新业务,对“服务”用着不爽,投入也不多,自己搭就自己搭,允许,肯定是自己开发的自己用着顺手,标准统一提就行了。基础架构就是做产品,不可能为了一个人的口味影响大多数。A29:我记得以前有一篇说中台的文章,做公共服务的平台团队,一般会沦为公司核心业务的外包。平台团队的业务逻辑和策略,说核心业务有啥需求必须尽快满足,但是边缘业务一般需要排队等。就算业务自己做,业务的研发团队大概率还是会独立一个基础设施研发组出来,区别是,强势业务的人足够多,有啥需求一般自己就满足了,不用跟别的业务需求排队。A30:很现实,毕竟就是要服务业务初衷,帮忙不添乱的,不过这些不是“基础部”的问题,是创新孵化的问题,组织问题了,如果没有创新支持,那确实就是谁有钱给谁做产品,内部是否结算都一样。“沦为”“外包”听着是个贬义,但如果不朝着这个方向,背离这个方向,那成什么样了,那可是核心业务。如果说,基础架构的服务也要接口化,让创新业务能在此基础之上封装自己的个性需求,那我是双手赞成,这属于如何提供好基架服务的问题,而任何业务提的需求该不该投入成本,本来就是该评估的,共性大回报大就排期,别人没有需求那就砍掉。用得不爽就自己封装,自己发现投入太大也会砍掉去适配基架,再正常不过的道理。为啥差别对待?公司是以盈利为目的的啊。A1:隔壁群测试了win10下query user都没法执行。新版本的有,旧的反而没事。好像跟版本有关系,我这个版本复现不成功。
A2:从原理看,我认为应该可以,可以照着视频复现一下。Windows Server 2016,这个版本能复现成功。A3:我是win10,已经复现成功进去了,user add是没法执行。看来ltsc版本还是稳,cmd可以直接gpedit.msc,再试试其他的可操作的。A4:我win11没成功,大部分的winPE都有绕过登录密码进系统的功能了。A5:赶快把这项技术研究下,阻断pe破解系统,那pe进去文件能看见吗?A6:外挂系统进去上帝视角,BIOS加密,就阻断了,但是BIOS电池放电,密码就没了。硬盘加密貌似不影响看文件。A7:可以上bitlocker,统一管密钥。bitlocker加密影响对外拷数据,但是不影响PE下打开文件,可以上终端文件加解密系统。A9:你可以试一下,我也没搞懂,我自己电脑就是bitlocker加密的,但是我在PE下还是可以看文件。个人的bitlocker加密硬盘和企业级不一样?A10:上bitlocker不会出问题吗/比方说各种意外和影响性能。A12:我刚才试了下,创建用户没成功,原来是因为被某绒安全软件拦截了,关闭安全软件后创建用户成功了,看来安全软件还是有必要的。A13:由于用户习惯,作为装机镜像其实很正常了。business和家庭版教育版是有游戏中心的,企业版和ltsc是踢出了的,包括ms store也是踢出了的。A14:还有某些版本的搜狗没有游戏中心也无法利用下去,你们公司的电脑如果版本是统一的,直接照着视频试一下。A15:这条件有点苛刻啊,首先是搜狗输入法,还要带游戏中心。本来锁屏界面就不该唤起悬浮,搜狗是有了个窗口功能。想起了以前那个iPhone的拍照还是时间还是手电筒啥的绕过锁屏密码进去iPhone。那如果企业网屏蔽了游戏类的流量,搜狗的游戏中心是不是就是灰色打不开?![]()
A16:不仅是搜狗,某些其他输入法也有同样的问题,比如华宇输入法。先复现受不受影响 不受影响就该干嘛干嘛,受影响就决策,风险无非就是接受(物理接触),规避(卸载),缓解(修复),这个无法转移。A17:本地和 RDP 都能被有效利用。我们服务器不装输入法,通知PC在用的人卸载就好了。A18:不少终端安全防护软件支持 rdp 二次验证。我们去年发现了这个问题,然后统一输入法,统一阉割。A19:应该对已使用,尤其办公区内影响最大,我又试了下,重启电脑,没登陆过系统,搜狗是调不出来的,登录过锁屏,再去调,就很顺利。基本上就司机搜狗+百度五笔/微软五笔,搜狗的话安装目录 SGpic那个exe删掉就行了。导入词典,截图另存为啥的都可以看一下,对应了输入法不同的exe把这些exe拿出去就行了。然后禁更新升级等外联域名。A20:请教这个终端侧怎么整改?下发推送脚本直接删除吗?A21:应该是你要魔改以后再下发推送,估计也可能做成绿色。A22:安装包没法魔改啊,要么删除,要么直接绿色。但是输入法能绿色?A23:能绿色,不同版本改法不太一样,最好是搞定一个版本然后下发。找个机器测一下试试。- 针对这次的sougouplay,可以做针对性的进程防护策略,禁止特定进程启动。
A26:现在还能复现吗?好像被修复了,只有特定版本能利用。不只近源,在某些时候,云桌面能用。A27:只要 rdp 就能吧。貌似调出软键盘是个前置条件,可以试一下把软键盘禁用了。A29:算windows的。锁屏下,就算windows不给第三方输入法调出文件管理窗口/ie窗口,也是可以正常使用的。所以是win给的权限过大。A30:这个漏洞修复了吗?昨晚还可以复现,今天不行了,看相关功能已经屏蔽了。相关游戏和广告功能屏蔽了,没办法进入资源管理器,就执行不了系统命令。不知道还有没有其它攻击方式?-----------------------------------------------------------------------------------由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将君哥的体历加为星标或每次看完后点击一下页面下端的“在看”“点赞”。【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。如何进群?
