我在 Stack Exchange Workplace 社区上阅读了这个问题,它表明 IT 团队能够阻止用户打开他们的笔记本电脑(开机)。
我的笔记本电脑访问已被关闭(IT 以某种方式远程关闭它,它无法开机),公司单元无法工作,无法通过 webmail 访问电子邮件。
我知道 IT 系统管理员可以阻止用户登录。但是,这可能吗?
如果是,有哪些技术可以用来做这样的事情?
如何防止电脑开机?
信息安全
用户管理
2021-08-22 08:56:32
2个回答
带外管理
英特尔管理引擎和AMD DASH是远程管理企业 PC 的独立微处理器。它们在机器上以Ring -3权限运行并在主机操作系统之外运行。
它可以锁定被盗设备、远程擦除数据、跟踪位置、局域网唤醒和无线局域网唤醒、控制主机操作系统和检测第三方实时 USB 启动。
它能够访问任何内存区域,而无需主 x86 CPU 知道这些访问的存在。它还在您的网络接口上运行 TCP/IP 服务器,并且在某些端口上进出您的机器的数据包会绕过系统上运行的任何防火墙。[1]
由于它需要电源,在企业台式机中,保持开关打开就足以让主板汲取电力,因为关闭主机操作系统不会关闭主板电源单元的交流电源。
无法从 UEFI 禁用它。移除微处理器或修改其存储在 UEFI 中的固件将阻止系统启动。禁用安全启动或使用自定义 UEFI 密钥不会禁用其固件验证。
这是 Intel 验证它的方式,amd 的实现可能会有所不同:
ME 固件由嵌入在芯片组中的秘密引导 ROM 进行验证,该 ROM 首先检查公钥的 SHA256 校验和是否与出厂时的匹配,然后通过重新计算固件有效负载的 RSA 签名并与存储的数据进行比较来验证固件有效负载的 RSA 签名。签名。这意味着没有明显的方法可以绕过签名检查,因为检查是由存储在芯片中的 ROM 中的代码完成的,即使我们有公钥和签名。[1]
一旦被盗设备被锁定,它们就不会响应电源按钮信号。在带有 BIOS 的旧主板中,它们过去会做出响应,但会立即自行关闭。
消费类 PC 还预装了英特尔管理引擎微处理器和英特尔管理引擎接口驱动程序,但 OEM 并未在消费类 PC 中安装英特尔主动管理技术软件。
可以逆转吗,或者这会使设备变砖吗?
如果设备被远程管理员锁定,它可以使用 LAN 唤醒和芯片的特定解锁指令解锁。这就是我的组织过去使用敏感数据处理企业笔记本电脑的方式。该芯片与 UEFI 中的固件绑定,使用芯片制造商的公钥进行硬编码,并且可能硬连线到主板,以便在移除芯片时将设备变砖。英特尔对其实施保密。
这并没有阻止研究人员从固件中部分禁用它:
在现代硬件上禁用英特尔的后门(2020)
研究人员发现了一个未记录的配置设置,可用于禁用已被比作后门的 Intel ME 主控制器。(2017)
defalt的答案非常好,但另外,请记住三件事:
用户是不可靠的叙述者,他们对“它不会开机”的定义相当广泛,可能包括设备启动但无法登录。
如今,MDM(移动设备管理)适用于笔记本电脑以及移动设备和平板电脑,并且大多数 MDM 系统都有某种方式使完全集成的“公司拥有”设备无法运行。
即使没有所有这些,即使没有 OOB 管理,大多数系统管理员也可以推送脚本来运行 rm /* -rf 或其 Windows 等效项。