如何防止计算机开机？

#1 楼

带外管理
英特尔管理引擎和AMD DASH是独立的微处理器，可远程管理企业PC。它们可以在计算机上以Ring -3特权运行，并且可以在主机OS之外运行。实时USB启动。

它能够访问任何内存区域，而无需主x86 CPU知道这些访问的存在。它还在网络接口上运行TCP / IP服务器，并且在某些端口上进入和离开计算机的数据包会绕过系统上运行的所有防火墙。 [1]

由于需要电源，因此在企业台式机中，保持关闭状态足以使主板消耗电源，因为关闭主机操作系统不会关闭交流电源主板的供电单元。
无法从UEFI禁用它。卸下微处理器或修改存储在UEFI中的固件将阻止系统启动。禁用安全启动或使用自定义UEFI密钥不会禁用其固件验证。
这是英特尔进行验证的方式，AMD的实现可能有所不同：嵌入在芯片组中的芯片组，该芯片组首先检查公钥的SHA256校验和与出厂时的校验和是否匹配，然后通过重新计算并与存储的签名进行比较来验证固件有效负载的RSA签名。这意味着没有明显的方法可以绕过签名检查，因为即使我们拥有公共密钥和签名，该检查也是通过存储在埋在硅中的ROM中的代码完成的。 [1]

一旦被盗设备被锁定，它们将不响应电源按钮信号。在装有BIOS的旧主板中，它们曾经响应但立即关闭。
消费类计算机还预先在Windows中预装了英特尔管理引擎微处理器和英特尔管理引擎接口驱动程序，但OEM并未在消费类计算机中安装英特尔主动管理技术软件。 ，或者这会阻塞设备吗？

如果设备被远程管理员锁定，则可以使用LAN唤醒和针对芯片的特定解锁指令来对其进行解锁。这就是我的组织用来处理具有敏感数据的企业笔记本电脑的方式。该芯片以其在UEFI中的固件为界，并使用芯片制造商的公钥进行硬编码，并且可能被硬接线至主板，以便在移除芯片时对设备进行固定。英特尔对其实施保密。用于禁用已被比喻为后门的Intel ME主控制器。 （2017）

带外管理
[1]英特尔x86隐藏了另一个可以接管您的计算机的CPU（您无法对其进行审核）

#2 楼

defalt的答案非常好，但请记住三件事：用户是不可靠的叙述者，他们对“它将无法开机”的定义相当广泛，可能包括设备开始但无法登录。


如今，MDM（移动设备管理）适用于笔记本电脑以及移动设备和平板电脑，并且大多数MDM系统都可以通过某种方式完全集成



即使没有所有这些，即使没有OOB管理，大多数系统管理员也可以推送脚本来运行rm / * -rf或其等效的Windows。 >