许多组织和个人已开始采取基本的安全措施,例如要求更强的密码,实施两因素身份验证以及管理访问控制。但是通常会忘记针对最坏情况进行保护。一个主要的疏忽是 如果有人丢失笔记本电脑或计算机被盗怎么办.
如果没有正确的保护措施,攻击者最终可能会在设备上获得所有数据-个人机密,知识产权,财务信息,有价值的公司数据,敏感的客户详细信息等等.
这对个人和组织都构成巨大的风险. 一种解决方案是在设备上设置远程擦除. 即使计算机已经丢失或被盗,这也使管理员可以删除数据(尽管有一些限制)。另一个有用的安全措施是 实现全盘加密 这样,除非小偷也设法窃取了钥匙,否则小偷无法访问笔记本电脑上的任何数据.
这些技术中的每一种都可能比起初看起来要复杂得多,并且每种技术都有各自的优缺点。因此,在某些用例中,一个选项比另一个选项要好,或者如果威胁级别足够高,则可以将两种机制组合使用.
什么是远程擦除?
远程擦除使从笔记本电脑或计算机中删除数据成为可能,而不必在设备前面。这是个人和公司都应考虑在所有包含敏感或有价值数据的计算机上实施的关键功能.
它需要预先设置,但是如果启用了远程擦除功能,则所有者可以擦除数据并防止攻击者窃取信息或使用数据发起进一步的网络攻击。这可以使远程擦除成为防止数据泄露的有价值的工具.
如果您已经了解了远程擦除和其他安全机制(如全盘加密)的重要性,请查看以下部分以了解如何进行设置。如果您仍然不确定他们可以阻止哪种攻击,请跳至 为什么要启用远程擦除或全盘加密? 部分,以了解如果没有采取这些措施会造成什么损害.
如何远程擦除笔记本电脑
各种程序可以远程擦除PC。在本教程中, 我们将使用猎物, 因为它是开源的,因此您无需付费进行设置,尽管如果设备确实被盗并决定擦除它,则您需要在该阶段支付专业订阅费用。重要的是要注意,Prey需要提前设置-一旦笔记本电脑丢失或被盗,安装任何远程擦除软件为时已晚。.
在设备丢失或被盗之前
首先,请前往Prey的下载页面,然后为您的PC或设备选择合适的版本。在本教程中,我们将使用Windows 64位版本。点击下载后,点击 保存存档 在出现的对话框中:
文件下载完成后,将其打开以运行安装向导。进入欢迎屏幕时,单击 下一个, 其次是 我同意 当许可协议弹出时。在下一个屏幕中,选择要在其中安装Prey的目标文件夹,或将其保留为默认选项。请点击 安装.
向导完成安装后,请确保选中复选框以启动Prey,然后单击“确定”。 完. 这将在您的Web浏览器中显示以下页面:
假设这是您第一次设置“猎物”,请单击 新用户, 然后在显示的输入字段中输入您的姓名,电子邮件地址和密码。点击reCAPTCHA中的框以证明您不是机器人,并单击复选框以表明您已年满16岁并已阅读条款。点击蓝色 注册 他们下面的按钮.
这将启动Prey的控制面板,该面板将显示设备的最后一个已知位置:
请注意,在此屏幕截图中,出于隐私原因,地图已移至海洋中部。通常,它将用一个框显示您的区域,该框会记录您的最后一个已知位置.
一旦Prey启动并运行,它将提供许多功能,例如定位服务,远程锁定和远程擦除,您可以根据需要使用这些功能。.
设备丢失或被盗后
假设发生了悲剧,您的笔记本电脑丢失或被盗了。一种节省的好处是您具有远见卓识,可以安装像Prey这样的远程擦拭工具来限制任何潜在的损坏。第一步是进入Prey网站,输入您的详细信息并登录:
登录后,单击丢失的设备。它会显示它最后一次连接到互联网的时间以及它的位置。如果您很幸运地被小偷抢劫了,他们将上网,显示设备的位置.
然后,您可以使用此信息来查找计算机或将其交给警察以帮助他们进行调查。位置数据在设备只是丢失了的情况下(如果仍可以连接到互联网)也很有用。猎物的控制面板使查找变得更加容易.
如果设备被盗, 限制小偷对计算机文件的访问很重要. 在右侧列中,有几个不同的选项:
如果要远程擦除设备并永久删除文件,请单击 远程擦除 在列的底部。不幸的是,此功能在免费套餐中不可用,因此您需要订阅Prey Pro才能擦除设备.
如果您尚未注册Prey Pro,并且确实需要远程擦除计算机,请单击 升级您的计划 在弹出窗口中,然后点击链接以擦除设备。只要仍连接到互联网,这将删除计算机上的数据.
如果您想在盗窃时设置远程擦除功能,但又不想注册Prey Pro,则可以选择其他软件。 Microsoft 365和Microsoft Enterprise Mobility + Security都随Intune一起提供,可以预先设置,以便您可以远程擦除任何丢失或被盗的设备。 Absolute和Meraki等其他公司也提供远程擦拭解决方案.
远程擦拭的局限性
远程擦除似乎是在最坏的情况下保持数据安全的理想解决方案,但实际上它的用途比您想象的要受到限制。一个重要的问题是潜在的盗窃和远程擦除之间的时间间隔。另一个问题是该设备需要连接到互联网才能远程擦除.
盗窃和擦拭之间的时间
偷东西时,我们常常不会马上注意到。我们可能要花费数小时,数天甚至数周的时间,才能意识到计算机已被盗。延迟时间很关键,因为狡猾的小偷可能只需要花费几分钟,就可以从被盗的笔记本电脑访问数据.
即使在极少数情况下,您目睹笔记本电脑被盗并可以竞赛登录并远程擦除计算机,小偷也有可能在您之前访问数据。在不太有利的情况下,他们可能需要几天时间浏览文件并访问他们想要的所有内容。不幸的是,在进行擦除之前,远程擦除无法阻止窃贼访问数据的小偷.
设备需要在线
远程擦除的另一个限制是,被盗设备必须在线才能运行。正是由于这些原因,任何知道他们在做什么的小偷都会使笔记本电脑保持离线状态–他们不希望设备被跟踪,也不希望数据被擦除。这意味着您可能永远也没有机会使用远程擦除功能,而您花费了很多精力进行设置.
如果该设备在盗窃后已连接到互联网,则可能是小偷是业余爱好者,或者只是偷了笔记本电脑本身进行销售。在这种情况下,它们不太可能瞄准计算机的数据,因此可能不需要远程擦除.
数据实际上是否被删除?
对于一旦擦除或删除数据是否可恢复,存在很多猜测。是否可行取决于很多因素,包括驱动器的擦除方式,是现代驱动器还是旧驱动器,固态驱动器或硬盘驱动器,以及攻击者的复杂程度.
根据2008年的一项研究,在大多数情况下,使用适当的软件进行一次擦除就足以防止数据进入攻击者的手中。但是,如果您要与资源丰富的对手和较旧的驱动器或固态驱动器打交道,则可能有可能他们可以在擦除数据后恢复数据.
全盘加密保护被盗设备
在某些情况下, 远程擦拭对于保护丢失或被盗的笔记本电脑无效或不可行. 在许多情况下,全磁盘加密可以是更好的选择,或者可以用于补充远程擦除功能.
当计算机的磁盘完全加密后,这意味着 磁盘上的所有数据已被加密软件或硬件锁定. 这样可以防止未经授权的访问。使用全盘加密时,只有拥有密钥的用户才能访问数据。否则,数据将无法用作密文.
全盘加密是保护数据的绝佳方法,尤其是在设备丢失或被盗时。即使设备最终被错误使用,除非盗贼也拥有密钥,否则他们也无法访问数据.
这种方法可能比远程擦除更具优势,因为 在盗窃和远程擦除之间,犯罪分子没有机会.
另一个主要好处是,该设备无需连接到互联网即可防止小偷访问数据。尽管数据仍然在技术上仍在计算机上,但是加密使得没有密钥就无法访问–无需Internet连接即可锁定或从设备中删除数据,因为默认情况下它已被锁定.
在Windows 10中实现全盘加密的最简单方法是使用BitLocker,尽管它仅适用于Windows Pro,Enterprise和Education用户。如果您使用的是Windows 10家庭版,则无法使用Bitlocker。以下教程也使您的计算机具有可信平台模块(TPM)芯片, 尽管您可以通过多种方式设置Bitlocker.
如果您不选择BitLocker,则可以尝试VeraCrypt,它是一个免费的开源全盘加密程序。与BitLocker相比,某些用户更喜欢它,因为它允许任何人检查代码,并且VeraCrypt背后的组织并不依赖于像Microsoft这样的大型公司。.
使用BitLocker设置全盘加密
第一步是使用管理员帐户登录Windows。以管理员身份登录后,转到 控制面板, 然后选择 BitLocker驱动器加密:
请点击 开启BitLocker. BitLocker向导将开始运行,扫描您的计算机以确保它具有TPM芯片并满足其他要求。如果需要更改系统,BitLocker向导将建议任何必要的步骤.
准备好Bitlocker后,它将提示您输入USB密钥或密码。对于大多数用户而言,密码将是最实用的选择.
重要的是要注意,即使是最好的加密工具也容易受到弱密码的破坏。如果您使用简短的密码,或者对每个帐户使用相同的密码,则不能指望加密磁盘非常安全。查看有关创建和管理强密码的指南,以了解如何提高安全性或使用我们的密码生成器.
输入您的强密码,然后在以下字段中再次输入,以确认您正确输入了密码。然后,您将转到以下屏幕,其中包含关键恢复选项:
这些是Microsoft提供的选择,以防您忘记或丢失密钥。最好是 避免 保存到您的Microsoft帐户 因为电子邮件不是很安全。更好的选择是:
- 保存到文件 –您可以将密钥保存在专用于此目的的USB上。将其放在保险箱中或小心隐藏,除非需要恢复密钥,否则请勿将USB连接到计算机.
- 打印恢复密钥 –您可以通过打印密钥来保留密钥的备份,然后小心地将页面隐藏在家里.
在以下屏幕中,系统将询问您要加密多少驱动器. 仅加密已使用的磁盘空间 最适合新计算机或驱动器。如果该驱动器已经在使用中,则最好选择 加密整个驱动器 这样整个驱动器就被加密了.
然后,您可以选择加密模式。由于在此示例中我们使用BitLocker加密计算机的硬盘,因此请单击 新的加密模式, 面向固定而不是外部硬盘驱动器.
完成所有这些阶段后,BitLocker将要求您重新启动计算机以进行系统检查。启动时,系统将提示您输入BitLocker密码,然后才能访问驱动器。.
你会被问到, “您准备好加密该驱动器了吗?”. 点击 继续 磁盘加密过程将开始。它可能需要几分钟到几天的时间,具体取决于需要加密多少数据.
一旦驱动器被加密,您将能够解锁它并访问文件的唯一方法是输入您先前设置的密码。这就是为什么谨慎存储密码如此重要的原因.
您不仅可能忘记密码并且需要能够访问您的备份副本,而且还需要将其隐藏起来,因为遇到它的任何人都有可能访问您的所有文件。.
全盘加密的局限性
与安全性的大多数方面一样,全磁盘加密也有一些缺点。主要弱点之一是 只有遵循良好的密码惯例,加密才会很强大. 如果黑客能够找到或破解密码,那么访问数据就很简单了。.
在信息安全的许多领域中,这都是一个问题,可以通过以下实践来缓解:
- 使用复杂的密码.
- 为每个帐户使用唯一的密码.
- 使用密码管理器.
- 不要将密码记在容易找到的位置.
- 社会工程意识和培训.
另一个主要问题是 即使最好的加密方法也无法永远保持安全. 我们使用的算法需要在安全性和可用性之间进行权衡。算法越安全,加密和解密所需的时间就越多,并且使用的计算能力也就越高.
为了提高效率,我们倾向于实施对中期安全的加密算法。如果我们加密数据以保证下个世纪的安全,那么它将需要太多时间和计算能力才能使用.
随着时间的流逝,我们的技术不断发展,处理能力越来越便宜,并且发现了新的密码分析技术。过去被认为是安全的算法(例如DES)现在可以由积极进取且资源丰富的对手解密。这意味着任何使用DES加密的旧数据都可以访问.
目前,AES-256被视为对称加密的黄金标准。正确实施时, 被认为是不可行的, 即使是最强大的组织.
但是,就像使用DES一样,技术将在未来几十年中得到改善,并且规避AES的方法将变得越来越实用. 这意味着当前使用AES加密的数据最终将是不安全的, 使我们的对手可以访问它.
当然,到那时,当前被认为敏感或有价值的许多数据将完全不值钱。尽管如此,某些数据仍将保持其价值,在这些长期情况下,擦除驱动器是一种比全磁盘加密更安全的未来方式。.
尽管这种情况看起来有些偏执,但泄露的NSA文档暗示着组织可以保留某些加密数据,直到找到破解它的方法为止。当然,对于大多数个人和组织所面临的威胁级别,不必担心,但是在某些情况下需要考虑将来的解密潜力.
将远程擦除与全盘加密相结合
在许多情况下,远程擦除或全盘加密都足以保护数据。在数据极为宝贵且有望保持数十年价值的情况下, 最好结合两种机制.
如果同时设置了全盘加密和远程擦除,则在最初的盗窃之后,小偷将无法直接访问数据(除非他们已经获得了密码-再次,采用良好的密码可以减少这种情况的发生)管理实践).
如果设备已连接到互联网, 然后也可以远程擦除它,以防止将来访问数据. 这样可以在发现密码或将来开发新技术来规避加密的情况下提供进一步的保护。.
当然,仍然需要将设备连接到Internet才能使远程擦除工作,但是至少,将这两种方法结合在一起可以为管理员提供额外的保护。这也意味着攻击者有更多机会犯错.
为什么要启用远程擦除或全盘加密?
如果尚未启用远程擦除并且没有其他防护措施, 攻击者可能可以访问便携式计算机或PC上的任何内容. 从大规模数据泄露到IP盗窃,这种监督可能会对企业和个人产生巨大影响.
这些不只是理论上的攻击。过去有无数笔记本电脑或其他设备被盗导致灾难的例子。其中一些包括:
退伍军人事务数据泄露
与笔记本电脑相关的破坏性最大的数据泄露事件之一发生在2006年。一个未加密的笔记本电脑,其中包含来自2650万美国退伍军人的数据,是从一位数据分析师的家中偷走的。.
数据包括社会安全号码,残障等级和其他个人详细信息。 2009年,退伍军人事务部与受影响的人达成和解。集体诉讼最初要求为每个被窃取数据的人赔偿1,000美元,但最终达成了一项协议,总赔偿金仅为2,000万美元.
MD安德森癌症中心失窃
在2012年至2013年之间,MD安德森癌症中心(MD Anderson Cancer Center)的笔记本电脑和两个USB驱动器被盗。盗窃案包括来自34,800名患者的未加密数据。尽管没有证据表明未经授权的个人访问了个人数据,但该德克萨斯州公司在2023年仍然被罚款430万美元。.
该公司对卫生和公共服务部的决定提出了上诉,但主审法官维持了这一处罚。史蒂文·凯塞尔(Steven Kessel)法官驳斥了MD安德森(MD Anderson)的论点,称该组织“……在随后的几年中,对加密所做的工作仅是半心半意且不完整。
法官的裁定认为,是否以未经授权的方式访问数据无关紧要。他裁定该公司未能保护个人信息免于泄露,使其承担责任。.
Coplin Health Systems笔记本电脑盗窃
在2023年初,西弗吉尼亚州的一家医疗保健组织将一台笔记本电脑从员工的汽车上偷走了。笔记本电脑属于Coplin Health Systems,受到密码保护,但是数据没有加密,也没有启用远程擦除功能,这使得可以访问43,000位患者的数据.
患者信息包括健康数据,社会保险号和财务信息。在这一阶段,没有证据表明这些数据已被黑客滥用,但是仍然需要Coplin Health Systems通知受影响的人以及卫生和公共服务部民权办公室。这是因为笔记本电脑缺乏适当的防护措施,并且盗窃仍然对患者及其数据构成风险.
来自Eir的被盗笔记本电脑
笔记本电脑盗窃如此猖and和破坏性不只是美国。爱尔兰电信公司Eir也在2023年盗窃了一名员工的笔记本电脑。虽然该笔记本电脑本应受到密码保护和加密,但从盗窃发生的第二天起,安全性就有缺陷,导致笔记本电脑的数据在被盗时被解密。.
该漏洞使小偷可以访问37,000个Eir客户的数据。该数据包括姓名,电子邮件地址,帐号和电话号码,但是该公司表示没有财务数据存在风险。.
该公司将该事件报告给了数据保护专员以及受影响的客户。这次事件表明,公司在保护其数据方面需要保持警惕。尽管安全漏洞是一个不幸的现实,但远程擦除功能可能会保护数据免受未经授权的访问.
加拿大卫生部笔记本电脑盗窃案
2023年底,加拿大的一名政府雇员从笔记本电脑中偷了一台笔记本电脑。未加密的笔记本电脑是从上锁的汽车中取出的,其中包含有关西北地区近40,000人的健康信息.
在电子邮件和文件之间,笔记本电脑包含一些极为敏感的健康信息,包括以下记录:“…HPV疫苗接种,艰难梭菌(结肠感染),巴氏涂片,百日咳,结核病的血液检查,性传播感染和抗生素耐药性疾病,等等。”
除了健康数据外,笔记本电脑还包含可用于身份盗窃和其他犯罪的个人详细信息。该设备显然是未加密的,因为它是与IT部门的加密软件不兼容的混合平板电脑和笔记本电脑.
要求处理此类敏感信息的笔记本电脑,无论采取何种加密措施,都必须在没有正确保护措施的情况下才能发布给员工。如果不可能,则应为该任务发布安全设备.
特勤局笔记本电脑失窃
另一方面,2023年,特勤局特工的工作用手提电脑从纽约市的一辆汽车上被盗。尽管被盗,笔记本电脑仍采取适当的安全措施以减轻任何潜在危害.
特勤局对员工的笔记本电脑进行了完全加密,并且不允许他们包含任何机密信息。它们还具有远程擦除功能,使设备对任何攻击者都无用。虽然不可能阻止盗窃的发生,但是制定全面的网络安全政策可以帮助限制可能发生的任何损失.
远程擦除和全盘加密可最大程度地降低风险
上面列出的事件表明,如果组织不花时间来提前保护其设备,则会造成多大的损害。我们倾向于低估风险或想象某些情况永远不会发生,直到为时已晚。现实情况是,我们的笔记本电脑通常包含非常有价值的数据,是小偷的主要目标.
尽管在计算机上设置远程擦除或全盘加密似乎很麻烦,但与数据泄露可能造成的巨额成本相比,这是一个很小的代价.
也可以看看:
- 五分之三的二手硬盘包含先前所有者的数据
- 网络安全统计