我正在运行一个用密码保护 BIOS 的服务器。无需在启动前输入此密码,而是在进入 BIOS 设置之前输入。我只是从常规中做到这一点。但是,BIOS 中并没有真正有趣的设置,不是吗?我只设置了日期/时间、启用/禁用驱动器和端口等。
当然,我不希望任何人都可以只进入设置并在计算机上设置主启动密码,但这是为了防止破坏。
密码保护系统设置是否有助于以任何方式保护存储在系统上的文件中的敏感数据?
该问题被列为本周信息安全问题。
阅读 2014 年 2 月 28 日的博客文章了解更多详情或提交您自己的本周问题。
受 BIOS 管理员级密码保护的最常见的事情是引导过程。对 BIOS 具有管理员级别访问权限的人(通过不受保护或通过密码泄露)可以将计算机设置为从他喜欢的任何媒体启动。这将允许攻击者绕过您对驱动器上任何未加密数据的访问限制。有了这个,他们可以:
当然,访问 BIOS 通常意味着攻击者已经可以物理访问计算机。在这一点上,无论如何,所有的赌注都没有了——许多BIOS(和他们的密码)可以通过主板上的一个简单跳线来清除,或者攻击者可以拉出硬盘并在他们自己的系统上做他们喜欢的事情。也就是说,我在这里的帖子中的许多建议(以及该帖子中的其他答案和链接的线程)仍然值得考虑。
用密码保护 BIOS并非完全是徒劳的。但是,它绝不能是一个完全依赖的措施。为了使您的 BIOS 上的密码有效,必须采取其他措施来防止它被绕过。
没有任何意义:这可能阻止的唯一事情是恶意的物理攻击者从 liveUSB/liveCD 重新启动计算机(从而获得对您数据的脱机访问)。
如果你想保护敏感数据,你需要设置某种磁盘加密(这样数据只有在你的系统运行时才能访问);请注意,这需要在启动时进行一些交互(例如输入密码)。
可以实际出现在计算机前的攻击者也可以用螺丝刀打开机箱并在磁盘上按自己的方式进行操作;或者他可以简单地把电脑夹在胳膊下跑掉。没有 BIOS 密码可以为您提供任何保护。BIOS 密码仅针对假定不会在机器上进行物理操作的攻击者提供任何保护。在这种情况下,BIOS 密码保护... BIOS 设置。
攻击者可能想要更改的两个设置是当前日期和启动顺序。启动顺序相当明显:通过更改它,攻击者可以使机器从他带来的 USB 密钥而不是硬盘启动,从而使他可以完全访问硬盘及其珍贵文件。
更改日期更像是一种极端情况。通过让机器相信它是在遥远的过去,攻击者可能会触发一些其他可能影响安全的行为。例如,如果操作系统级别的登录使用带有证书的智能卡,那么操作系统将验证证书没有被吊销。如果攻击者窃取了带有 PIN 码的智能卡,但盗窃被发现并且证书已被吊销,那么攻击者可能想要更改日期,以便机器认为证书尚未被吊销。
最近的机器可能会使用一种叫做UEFI的东西:一种用于引导操作系统的新标准。它的一个特点是可以对引导加载程序进行签名,并且 BIOS 会验证该签名;它不会启动未签名的操作系统。这称为安全启动。但是,大多数 BIOS 允许禁用此功能。这是 BIOS 密码可以保护的另一个 BIOS 设置。