surface 系列的数据保密性和防盗能力怎么样？

可以用 PE 清空登录密码，但如果启用了 bitlocker 理论上无法访问
GO 的 SSD 是焊死在主板上的，几乎无法拆卸下来
开机且联网的状态下是可以追溯地址以及锁定，但根本没有任何意义，只要进 PE 抹掉硬盘机器就是人家的了

所以如果机器丢了你顶多能保证你的数据安全，其他的就听天由命吧

有 TPM

启用了加密就没啥问题，没启用就是能拆 ssd 芯片吧。

你提到的基本都是 Windows 系统或者说大部分系统的共通问题。

登录密码可以被破解，可以通过外部设备启动，可以强行破拆读取你的数据。

这取决于他人对你数据的感兴趣程度。

通常来说，在 UEFI 以及启用 BitLocker 的情况下设备就足够安全了，哪怕进恢复模式也是需要额外输入解密密钥。而且，这个功能在 Surface 上是默认启用的。

至于远程锁定，记忆中 Windows 没有这样的原生功能，但你可以通过设置电源计划并通过额外的软件（ Intel 的 AntiTheft 技术了解下）提供保护。

敏感数据还是自己加密比较放心

数据加密了理论上安全，但是别人有一百种方式利用你的设备，这几天看 b 站一个维修电脑的，各种干南桥、cpu 的技术炉火纯青，主板上啥东西都能拆下来用一下

开启 bitlocker，Windows 查找我的设备 可以定位。

bitlocker 破解很难，之前新闻 FBI 因为搞不定 bitlocker 无罪释放犯罪嫌疑人。bitlocker 除非是硬件规格不达标有漏洞才能破解。

@murmur 我也看了那个哈哈哈

@Sharuru win10 可以锁定。

https://support.microsoft.com/zh-cn/help/11579/microsoft-account-find-and-lock-lost-windows-device

Surface Go 不是默认就开启 Bitlocker 么？内置的 Win10 Home 版支持这功能，Surface 一个特色，这特性是专业版以上才有的。

@mmdsun #10 还真有这个功能，那舒服多了，哈哈。

说下我自己的理解, 如果有误欢迎+感谢指正哈

- 可以破解 surface 登录密码吗？
登录密码: 暂时没有听说在登录界面破解, 有 TPM 2.0 的设备上 **好像** 会使用一些额外的保护措施(相对于无 TPM 的设备).
建议: 进入 secpol.msc > 账户锁定策略 > 账户锁定阈值, 在一定次数的无效登陆后锁定账户几分钟, 一定程度上预防暴力破解.
如果太重要的: 不要使用生物验证, 指纹和人脸都不安全.
其他问题: Windows 10 可以在登录界面连接 WiFi 和网络, 理论上攻击者可以连接到恶意网络, 等待合适时机利用 Windows 漏洞攻入计算机.


使用原生 surface 系统的情况下，是否可以 PE 启动进去访问硬盘数据？
看情况....
没使用过原装的 home 版系统, 不过你可以尝试以管理员身份运行 `msinfo32` 查看设备加密支持状态.
surface 专业版安装后, 系统会自动在后台加密 **所有本地磁盘分区(recovery 等分区除外)**, 但没有启用保护, 用户如果登录了 MS 账户, 会激活保护, 并上传 bitlocker recovery password 到 OneDrive. 如果没有登录 MS 账户, 需要手工激活 bitlocker 保护并备份 recovery password.
加密后, 如果没有激活 bitlocker 保护, 在 PE 是可以访问数据的!!!


- 听说 surface 很难拆，是否存在拆了把硬盘拿出去读取的可能？
难拆是难拆, 但主板又不容易拆烂啊, 焊死的不好读硬盘? 论坛上那些飞线读 eMMC 的大神了解下. NVMe 同理.

- 如果启用 bitlocker 是否就不用担心了？
只能说放心一点点吧, 计算机运算速度越来越快, 总有一天会被暴力破解的...另外好像现在有针对 bitlocker 的攻击方式, 不过成本稍高.


lz 如果保证了 TPM, SecureBoot, Bitlocker, Windows 更新的正确配置基本上能防一大堆的小白的. 顺便建议启用 Bitlocker startup PIN.

另外: 这里有一个大大的 Bug: surface go 国行的 TPM 是 NTZ 的, 这就有意思了... 我就不多说了