La protezione tramite password del BIOS di un server aiuta a proteggere i dati sensibili?

29

Sto facendo funzionare un server di cui ho protetto il BIOS con una password. Non è necessario inserire questa password prima dell'avvio, ma prima di entrare nel setup del BIOS. L'ho appena fatto dalla routine. Tuttavia, non ci sono impostazioni davvero interessanti nel BIOS, ci sono? Ho solo le impostazioni per data / ora, abilitando / disabilitando le unità e le porte, ecc.

Ovviamente, non voglio che nessuno possa entrare nel setup e impostare una password di avvio principale sul computer, ma si tratta di proteggere contro vandalismo .

La protezione tramite password della configurazione del sistema aiuta a proteggere i dati sensibili nei file memorizzati sul sistema in qualsiasi modo?

This question was featured as an Information Security Question of the Week.
Read the Feb 28, 2014 blog entry for more details or submit your own Question of the Week.

    
posta Keelan 22.04.2013 - 15:30
fonte

3 risposte

14

La cosa più comune protetta dalla password a livello di amministratore BIOS è il processo di avvio. Qualcuno con accesso a livello di amministratore al BIOS (sia esso non protetto, o tramite compromissione password) può impostare il computer per l'avvio da qualsiasi supporto che gli piace. Ciò consentirà a un utente malintenzionato di ignorare le restrizioni di accesso che sono in atto su qualsiasi dato non crittografato sulle unità. Con questo, possono:

  • Leggi tutti i dati memorizzati non crittografati sull'unità.
  • Eseguire strumenti di cracking contro le credenziali dell'utente locale o scaricare i dati dell'autenticatore per cracking offline.
  • Modifica i file del Registro di sistema o delle password per accedere al sistema operativo nativo.
  • Carica i file dannosi e configura il sistema per eseguirli al prossimo avvio.

Ovviamente, l'accesso al BIOS generalmente significa che l'utente malintenzionato ha già accesso fisico al computer. A questo punto, tutte le scommesse sono comunque disattivate - molti BIOS (e le loro password) possono essere cancellati da un semplice ponticello sulla scheda madre, oppure l'utente malintenzionato potrebbe semplicemente estrarre il disco rigido e fare ciò che vuole con esso sul proprio sistema. Detto questo, molte raccomandazioni nel mio post qui (e altre risposte in questo e collegamenti, discussioni) sono ancora degni di considerazione.

  • Cripta il disco rigido
  • Assicurati che il computer sia fisicamente sicuro (ad es .: stanza chiusa / armadietto / chassis)
  • Utilizza password complesse per crittografia e amp; BIOS

Proteggere con password il BIOS non è completamente uno sforzo inutile. Tuttavia, non deve essere una misura a cui si fa affidamento esclusivamente. Affinché la password sul BIOS sia efficace nel suo scopo, devono esserci altre misure per evitare che vengano ignorate.

    
risposta data 22.04.2013 - 17:09
fonte
13

Non in modo significativo: l'unica cosa che potrebbe impedire è un malintenzionato, attaccante fisico riavviare il computer da un liveUSB / liveCD (e quindi ottenere accessi offline ai dati).

Se si desidera proteggere i dati sensibili, è necessario impostare una sorta di crittografia del disco (in modo che i dati siano solo accessibili quando il sistema è in esecuzione); si noti che ciò richiederebbe alcune interazioni all'avvio (ad esempio inserendo una passphrase).

    
risposta data 22.04.2013 - 15:48
fonte
13

Un attaccante che può essere fisicamente presente davanti al computer può anche aprire il caso con un cacciavite e farlo a modo suo sul disco; oppure può semplicemente scappare con il computer sotto il braccio. Nessuna password BIOS ti fornirà alcuna protezione contro questo. Le password del BIOS offrono una protezione solo contro gli attaccanti che si presume che non debbano andare fisicamente sulla macchina. In tal caso, la password del BIOS protegge ... le impostazioni del BIOS.

Le due impostazioni che l'utente malintenzionato potrebbe voler modificare sono la data corrente e la sequenza di avvio . La sequenza di avvio è piuttosto ovvia: cambiandola, l'attaccante può far partire la macchina da una chiave USB che ha portato, invece del disco rigido, dandogli pieno accesso al disco rigido e ai suoi preziosi file.

Cambiare la data è più un caso limite; facendo credere alla macchina che è nel lontano passato, l'attaccante può innescare altri comportamenti che potrebbero avere un impatto sulla sicurezza. Ad esempio, se l'accesso a livello di sistema operativo utilizza smart card con certificati, il sistema operativo verificherà che il certificato non sia stato revocato. Se l'hacker ha rubato una smart card con il suo codice PIN, ma il furto è stato scoperto e il certificato è stato revocato, l'attaccante potrebbe voler modificare la data in modo che la macchina ritenga che il certificato sia non ancora revocato.

Le macchine recenti possono utilizzare qualcosa chiamato UEFI : un nuovo standard per l'avvio dei sistemi operativi. Una caratteristica di questo è che il bootloader può essere firmato e il BIOS verifica tale firma; non avvierà un sistema operativo non firmato. Questo è chiamato Avvio protetto . Tuttavia, la maggior parte dei BIOS consente la disattivazione di questa funzione. Questa è un'altra impostazione del BIOS che la password del BIOS può proteggere.

    
risposta data 22.04.2013 - 16:53
fonte

Leggi altre domande sui tag