这里的安全指的是不会被其他人访问，群晖的 nas 提供了加密功能，但是开机会自动解密，密钥在内存里。如果这时候有人能物理碰到 nas ，还是能获取到里面的数据的。
对比热储存，bitlocker 加密或者其他文件加密，基本不可能被破解，哪怕是硬盘被抱走。
想象一下，nas 里储存了很多敏感数据，突然有人上门直接抱走整个机器，这时数据就没有绝对安全的。

大部分用户，数据丢了也不会天塌了。就是麻烦一点

很少有人说数据安全的时候，会考虑别人能物理接触到设备吧

除非是藏违法证据账本什么的

不存在 nas 被突然有人上门直接抱走整个机器的情况

关于 BitLocker ，我这里阴谋论一下。
现在的软件基本都要 UAC 提权安装、联网，而 BitLocker 密钥也能内存提权（貌似已经有这类取证软件了）。
如果真有人要抱走你电脑，也许破解不那么麻烦。
防病毒、普通人确实好用，

抱走整个机器，会断电的吧😅

FBI, open the door!

重新通电开机又会自动解密

移动硬盘加密，只要弹出了，就是安全的。

1. bitlocker 开机也解密吧？密钥内存不太清楚

2. 整机抱走 bitlocker 呢？
3. nas 哪怕是硬盘被抱走呢？

4. nas/bitlocker 不是一个维度的比较吧？

   不是,哥们, 你的 NAS 是要优先考虑禁止其他人读取数据吗?

   nas 也不是为了你说的这种安全做的

   有道理，要考虑开门查水表的情况

   举个栗子，你在网上说了什么话含沙射影了某人，然后触发某些规则，然后 fbi open the door 。或者是承德程序员这种情况，大概也会物理抱走你机器的。这种事情其实不少，只是很少曝出来。

   根据个人经验，一般情况下两类人在查水表之后还不吐露密码的，一类是小偷小摸的比如说偷电瓶的，第二类是贩毒之类的。

   开机自动解密 等于没加密
   应该要有个开机手动解密的流程（例如本地或远程输密码）

   网络存储和人身安全有什么关系？
   你都上升到 open the door 了，你不得花点大价钱存海外银行的保险柜里？再租一个雇佣军里外三层把守？
   你没这钱你考虑个屁

   bitlock 的破解不是提权来的，用的是 DMA 攻击，开启内存完整性保护后目前依然无解

   support.microsoft.com/zh-cn/topic/%E9%98%BB%E6%AD%A2-sbp-2-%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%92%8C-thunderbolt-%E6%8E%A7%E5%88%B6%E5%99%A8%E5%8F%AF%E5%87%8F%E5%B0%91%E5%AF%B9-bitlocker-%E7%9A%84-1394-dma-%E5%92%8C-thunderbolt-dma-%E5%A8%81%E8%83%81-bf0ef10b-f563-5cfc-9740-8340b1d86a0c

   learn.microsoft.com/en-us/windows/security/hardware-security/kernel-dma-protection-for-thunderbolt

   关键在于搞清楚防的是谁。如果是怕喝茶，那一般的薄弱点在社会工程学。实在要物理安全，那考虑放到另一地更合理一点。

我说的是在你解锁的情况下像木马一样窃取你得密钥 XXXX-XXXX-XXXX 这样的，而且光改密码没用，得重新解密然后再加密才能改。

在解锁的情况下其实还有更简单的，直接控制命令行窃取就行，一条命令解决，不弹出命令行窗口相信大家都会。
manage-bde -protectors -get D:

我树莓派开了 luks ，initrd 里要 ssh 远程上去手动解密才进入正常的开机阶段，断电后就启不来了，我认知范围里蛮安全的

一般来说普通人说的数据安全指的是数据可用性而不是机密性

旧版的 Windows Boot Manager 有一个漏洞 CVE-2023-21563 ，在特定的情形下没有清除内存里的 Bitlocker key 就引导第三方非 Windows 操作系统，导致密钥泄漏。虽然新版的已经没有漏洞，但是旧版太多，全部录进黑名单（证书吊销列表）会占用主板固件近一半的空间，而且会导致旧系统无法安装，于是微软决定不吊销。所以攻击者如果可以修改磁盘或者 BIOS 允许用其他载有旧版 Boot Manager 的介质启动的话都可以轻松解密 Bitlocker 。目前的解决方案是设置 TPM+PIN 的形式，但是 Windows Home 不支持。