@jim9606 不好说苹果的 iBoot 和 Intel Boot Guard 是严格对应的，首先是 iBoot 有时候会被用来称呼苹果移动设备的整个启动系统，有的时候又特指 Stage 2 的启动系统，要看上下文；其次，我看了一下 Boot Guard 的内容，主要是从 ACM 转到 IBB 的时候起作用，这个感觉更接近于苹果的 LLB 。

其实核心还是逐级验证这个思想，Secure Boot 本身其实描述的是一个流程或者一个 feature，苹果貌似没有专门的称呼去描述这个，但验证过程是存在的。

@spcharc
@dzdh

其实非 win 系统也有类似 secure boot 的东西，苹果 iOS 的 iBoot 就是这样的一个玩意儿。我个人觉得这个东西不过是打着安全的旗号，实现厂商的利益而已。

现在的系统启动过程都 follow 一条 boot chain，多数系统的启动过程都划分两个或者多个 stage 。一般 stage 1 是固化在 cpu 片上 rom 里的代码，非常短小精悍，用于初始化各种资源，形成一个最小系统为 stage 2 提供环境； stage 2 才是真正载入操作系统镜像，载入各种驱动，建立 VFS 文件系统等等直到整个操作系统运行起来（进入桌面或者出现 Terminal 提示符）。

以 iOS 为例，上电后首先是固化在 A 系列 cpu 的 boot rom 执行，然后 LLB，然后 iBoot，最后是 xnu kernelcache 。

Linux 也是类似，首先是 bootloader，然后才是 vmlinux 。

这条 boot chain 上每次从上一级到下一级移交的时候，都会形成一个攻击面，所以就需要对应建立一个 trust chain 来保证每一级结束后，载入的下一级是可信任的，一般做法是验证下一级镜像文件的签名，苹果做的更绝，不仅验证签名，还对下一级镜像加密了。即使最后系统正常运行了，微软还有个 PatchGuard 机制防内核被篡改，苹果也有个类似的机制叫 Kernel Patch Protection 。

Secure Boot，Bitlocker 还有上面的一堆东西，甚至包括 TrustZone，苹果 T2 芯片都是为了保证这条 trust chain 不被破坏，最终用户的环境是安全的而做出的努力。

然而从现实结果来看，这些东西包括 UEFI 等机制看起来是很美好的，现实是很残酷的。有些东西不仅保护有限，反而还因为自身设计问题等增加了攻击面。

对于用户而言，不仅有些操作变得非常困难（比如开启了 secure boot 的电脑重装非出厂时的系统），此外这些安全机制都把某些全局唯一识别信息以硬件方式固化在 firmware 或者 rom 里面（微软是把 product key 写在 UEFI/BIOS 里面，iPhone 甚至把 certificate 固化在 cpu 的 boot rom 里面）这些东西可能用来追踪用户，且很难清理；更进一步，各个系统厂商可以利用这套机制控制软件安装和分发渠道，以后很可能都只能像 iPhone 那样只能从 app store 下载应用，无法自己用安装包来安装。所以我觉得安全提示是厂商举的大旗，限制和操控用户终端才是厂商真的私货。

支持一下，起码有个保底的能用。

闭着眼睛选东北大学，东北大学计算机老底还在，保研考研的时候就知道了。

@axxahut233 同意按专业录取分数线对比，不过也要考虑大小年的因素，还有就是华科在湖北，湖南，河南，江苏几个招生大省投入的名额相对多一点，分数线整体会下压一点。总体而言，分数线是比较客观的。

唉，好歹拿北航跟华科比～

@makeitall 你还真是张口就来，不知道你做过调查没有，好歹起码逛逛白云黄鹤的 Job 和 Career 版再来说，华科 CS 差不多每年都有本科直接去 FLAG 的，北美湾区校友更是遍地。

友情提示楼主，华科的计算机专业分数线比工科录取线高一大截。湖北地区华科分数线一般是 610-620，计算机弄不好 640

C#默默不语

既然没签合同，那你也可以把他的商务模式，盈利点公布出来，有钱大家一起赚嘛。。。

@shijingshijing #141 足够文档的环境 -> 足够稳定的环境

@594duck 整个互联网讲究的都是短平快，因为 Intel，TI，ADI，STM，微软等巨头已经将整个生态封装的足够完备，提供了足够文档的环境，所以基本上不用操心太多底层细节，对更底层的机械、电气、热力等物理世界的基本上处于未知状态。

就好比一个在温室里野蛮生长的巨婴，以为自己在温室里能够横行无忌，一出温室，必然是被物理世界的狂风骤雨教做人。各种工业级必须关注的高温、高湿，抗干扰、冗余设计，一旦碰到，要么做不了，要么找巨头代工。
（例子太多，参见蔚来汽车，百度无人车等各种热炒的，背后都是 BOSCH，ZF，Denso，瑞萨，英飞凌）

操作系统要钱，数据库要钱，开发工具要钱（总不能开 Notepad 写吧），唯一便宜一点的可能是 .Net 程序员，可是现在也很难找了。

然后，比较要命的是，it doesn't scale. 业务一旦上来了，并发调优不比 Java 简单，而且还要有经验的资深 .Net 程序员来搞（并不比 Java 便宜，且更难招到）这就完全抵消了前面的优点了。更不谈上 Windows 集群每多一台，多付一份 Licence 的费用。

目前，除了一部分外企（特别是制造业，医疗，物流等传统行业）还在坚守 Windows，其他的能转的基本上都转了。这些企业是因为以前的 IT 投资，微软系的太庞大了，一旦转型意味着这部分资产全部归零，所以还会继续给微软续命。（ Office 365 和 Azure 就是靠这一部分 2B 业务搞起来的。）

7 月 9 日晚，中国人保发布公告称，公司第二大股东全国社会保障基金理事会（以下简称社保基金会）拟减持公司 A 股不超过 8.84 亿股，即不超过本公司当前已发行股份总数的 2%。

7 月 9 日晚，太极实业(600667,股吧)发布公告称，持股 6.17%的第二大股东大基金计划减持太极实业不超过 1.5%的股份。

汇顶科技发布公告称，持股 5.61%的第三大股东大基金计划自 2020 年 8 月 3 日起至 2020 年 11 月 3 日，减持不超过 4,566,921 股公司股份，拟减持股份不超过公司总股本的 1%。

北斗星通发布公告称，持股比例为 11.99%的第二大股东大基金计划在本公告发布之日起 15 个交易日后的 6 个月内，拟减持股份不超过公司总股本的 2%。

此前，国家大基金一期已完成首轮减持，采取集中竞价交易方式分别减持兆易创新、汇顶科技及国科微(300672,股吧)三家公司不超过 1%的股份。近日，大基金又开始了今年以来的第二轮公开减持，除今日发布公告的 3 家公司外，还有晶方科技(603005,股吧)、三安光电和兆易创新。

如果上面的操作还看不懂，那么还是不要炒股了。

@1wannaooooo 你永远无法叫醒一个装睡的人。

现在情况恶劣了一点，有的人自己喜欢裸奔，还非得觉得裸奔才是正常的，非得让其他人跟着一起裸奔。

我的做法是：

1，摄像头贴上电工胶
2，麦克风有物理开关的，确认开关置于关闭状态。
3，设备管理器里面，卸载摄像头，麦克风的驱动（有的系统安全设置不让更改驱动，可以在设备管理器中禁用该设备。）
4，控制面板 - 音频设置里面，禁用所有麦克风相关的设置。
5，BIOS 里面禁用所有 Intel AMT 相关的设定，比如 ME Interface 。


有的 HP Z 系列工作站，可以对单个 USB 禁用，音频输入输出禁用，彻底关闭 AMT，不缺钱的话，可以考虑。
只能是尽量防范，最重要还是要有安全意思。

@systemcall 现在的 Home 和 Pro 版主要是附带了很多不需要的垃圾功能，比如联系人，XBox 支持，还有那一票恶心的隐私功能，比如位置信息（我一个台式机要个毛线的定位啊），这些不仅毫无用处占用资源，加入了 windows 体验共享计划的，还有可能上传给微软，肯定是要干掉的。此外还有一堆计划任务，一堆 Telemetry 服务，一堆 perfmon 下面狂写日志的监测功能，都需要干掉。这也就是为什么 Win10 没有 SSD 就不行，其实干掉这些，机械硬盘也能跑的飞起。

你说的搜索功能，其实从 Win 7 就废了，SearchIndex 索引不仅没啥用，占磁盘空间，动不动扫描硬盘狂占系统资源。我给你推荐一个好用的：Agent Ransack

现在的 Windows，不来一番大力优化，干掉不需要的垃圾，就没办法舒服的使用。

@revalue 在 v2 上，发现一例，劝退一例。

你才两年，快转 Java，早转早轻松。

见到一个，劝退一个

请看下面的第 17 楼：
https://www.v2ex.com/t/431308