MADL!AR
Code is cheap, show me the PPT!
首页
分类
Fragment
关于
公司监视员工电脑,如何保护个人隐私?
分类:
硬件
发布于: 2023-09-06
最近公司升级了办公机的安全客户端,这是一些国内知名的安全公司所出品的流氓软件。它们在后台运行,扫描磁盘、监听网络、监视各app的活动,甚至通过截屏、录屏等手段来严密监视员工。作为员工本着尽职的原则,当然不能在工作机上摸鱼或者做其他的事情,但部署监控的行为却是实打实的侵犯个人的自由和隐私。何况,在公司规定的临界区,有一些事情难免存在争议,比如查阅一些文档,但不慎访问了知乎、B站等娱乐网站;跟某些客户沟通,但必须使用微信、QQ等im工具,等等。这样的行为难免会惹上嫌疑、成为公司的把柄。所以希望通过某种方法来规避这些问题。 其实只有1个原则: * 隔离办公机,在办公机的环境里,只办公;其他的事情,在其他机器上做 以前在某厂工作的时候,其安全软件的限制比较宽松,允许安装在虚拟机里,所以借助虚拟机,可以将工作机放在虚拟环境中实现隔离:  当然,还需要在网络上做隔离,一般在安装安全软件前,办公网络是不允许接入的。所以要给虚拟机和物理机分别配置一个网卡,其中有一个直连虚拟机,专门用于办公网络的访问;另一个访问外部网络,如上图所示。 但现在就职的公司已经禁止了虚拟机,甚至工作机的账户都不是管理员账户。这时,只能使用两台电脑,一台自用,用于查文档、整理个人资料等,另一台是公司电脑,专门用于工作。但这样会有不方便地方:桌面空间有限,在两台电脑上切换,太繁琐。此时我想到了一个办法: 1. 工作机的画面通过视频采集卡,回传到自用机; * 借助windows的钩子或类似机制,截获自用机的键盘鼠标输入,转发到工作机上(或者直接制作键鼠切换器) 这样就可以在自用机上控制工作的电脑了。有一些细节需要注意,那就是对软硬件进行必要的伪装,如果直接在工作机上运行一些特殊的软件或者硬件,必然会被安全软件侦测到,从而产生风险。比如第1点,视频采集卡接入到工作机时,工作机上就会出现一个名为“视频采集卡”的监视器,这是不合理的。好在HDMI协议中,显示器的型号是存储在EDID信息里,它通常被记录在eeprom芯片内部。解决这个问题不难,买一个显卡欺骗器,再通过烧录工具改写一下数据,将普通显示器的EDID信息烧入即可。 上述第2点,最好的方式就是通过硬件来模拟,可以参考这里:[使用STM32 H7实现HID组合设备(键盘、鼠标)](https://www.madliar.com/notebook/publish/i/caoliang.net/2023-08-27/-shi-yong-STM32H7-shi-xian-HID-zu-he-she-bei--jian-pan--shu-biao-.html)。经过反复试验,发现通过钩子的方式,处理鼠标事件比较麻烦,一是不太好截获鼠标设备的原始HID报文,二是如果采用SetWindowsHookExW的方式,当鼠标指针移动到屏幕边缘时,另一台电脑上的指针可能还在屏幕中央,但此时鼠标指针已无法进一步移动了。综合考虑,决定采用硬件方案,用两个stm32作为主从机,实现键鼠热切换:  这里采用stm32H750芯片,因为它内置两个USB外设,一个FS一个HS,做一个切换器用两个芯片就够了,换用其他型号最少需要4个。经过实测,这两个外设不能同时为host或者同时为dev,故只能采用上述的方式进行设计。其中要点: 1. 每个芯片的host接受键盘或者鼠标的HID报文 2. 每个芯片的dev对电脑伪装成一个组合USB设备,能同时上报键鼠数据 3. 复位时,插入键盘的芯片,被设置为master,否则为slave 4. master和slave通过UART总线进行通信 4. slave主动将自己通过host接收到的HID报文,上报到master 5. master会将所有报文透传到电脑,包括slave上传的,以及自己通过host接收的 6. 当按下热键时,master会向slave发送特殊指令,实现身份互换 实际硬件:  这个方案在进行设备切换时,键鼠设备不会掉线,切换的延迟也低至毫秒级,体验会好不少。当然除了stm32,也可以使用CH9350等方案,或者买成品kvm切换器。 在实际使用时,发现视频采集卡的画面回传几乎要耗费50毫秒,即使市面上能买到的延迟最低的采集卡,也有肉眼可见的迟钝现象。这个延迟让操作感受大打折扣。因此摒弃了采集卡,作为替换方案,买了一大、一小两块屏,分别接入到工作机和自用机,实际用起来十分便捷,值得推荐: 