Поддержка на уровне bios защиты информации хранящейся на жестких дисках паролем
У меня Dell Latitude E6400, и я хотел бы знать, насколько безопасна установка пароля для жесткого диска BIOS? Применяет ли это некоторую форму шифрования к содержимому диска или это просто какая-то простая блокировка доступа к диску? Т.е., если ноутбук был утерян или украден, может ли кто-нибудь с небольшим знанием получить доступ к данным на нем?
Пароли BIOS - это простые блокировки. Если вы не предоставите пароль, BIOS просто остановится и не продолжит процесс загрузки.
Есть два способа обойти эту простую блокировку:
Очистите память BIOS / CMOS (обычно требуется прямой доступ к материнской плате).
Извлеките диск и подключите его к другому компьютеру (проще).
Обновление . Как отмечается в ответе Blackbeagle, в спецификации ATA определен пароль жесткого диска. Это также простая блокировка, но она реализована в накопителе, поэтому ни один из вышеперечисленных шагов не обойдет ее. Требуются некоторые технические знания (и, возможно, дополнительное оборудование). Возможно, вас заинтересует эта статья для начинающих о паролях жесткого диска .
Блокировка BIOS является достойным сдерживающим фактором в любом количестве сценариев киносюжета: кто-то с ограниченными техническими знаниями или в ситуациях, когда злоумышленник может получить доступ к компьютеру, но не имеет достаточно времени или свободы, чтобы разобрать его. Если вы просто пытаетесь запретить доступ вашему коллеге или члену семьи, это работает. Тем не менее, это не является значительным сдерживающим фактором для решительного злоумышленника или человека, который имеет неограниченный физический доступ.
Блокировка уровня ATA является лучшим сдерживающим фактором, но она не идеальна. Опять же, решительный злоумышленник, если у вас будет достаточно времени, получит ваши данные.
Полное шифрование диска доступно и обеспечивает лучшую защиту. Существуют диски с самошифрованием, которые делают это аппаратно, и существует множество вариантов программного обеспечения. Шифрование данных значительно усложняет злоумышленнику получение ваших данных, но всегда есть способы обойти шифрование. (В частности, остерегайтесь криптоанализа свинцовых труб .)
ОК, это имеет смысл. Документация Dell действительно указывает, что перенос диска на другой ПК не обходит пароль жесткого диска, но там нет упоминания о шифровании. Похоже, что этого будет достаточно, если система будет утеряна или украдена, и это не позволит большинству людей получить доступ к данным на диске, но, безусловно, это не высокий уровень безопасности.
При должном уважении, между паролями BIOS и паролями жесткого диска существует недопонимание. Другое между паролем и шифрованием. Еще один между безопасностью жесткого диска и микросхемой безопасности на mobo.
BIOS pwds защищает только процесс загрузки: если пароль не предоставляется BIOS во время последовательности включения, последовательность включения останавливается. BIOS pwd хранятся на mobo. На этом этапе диск даже не был доступен. Пароль жесткого диска (фактическое имя ATA Security) предоставляется только приводом, а не BIOS. HDD PWD хранятся только на диске. Однако BIOS должен запросить pwd для пользователя и передать его на диск (BIOS не проверяет его). Затем жесткий диск решит, разблокировать ли он диск. Если нет, то данные не могут быть прочитаны или записаны.
Пароли HDD не относятся к шифрованию диска. Функция безопасности ATA - это просто механизм блокировки / разблокировки. Данные могут быть зашифрованы или нет системой, это прозрачно для контроллера жесткого диска на борту жесткого диска. Обратите внимание, что некоторые диски Hitachi Travelstar всегда зашифрованы, но не защищены (ключ шифрования не выдается за пределы диска, его знает только диск). Цель состоит в том, чтобы зашифровать данные и заставить их считываться только чипом жесткого диска, но они доступны каждому. Защита будет доступна только с помощью ATA Security.
Пароли и учетные данные в целом могут храниться в простом хранилище (чистая EEPROM) или в интеллектуальном хранилище. Голая EEPROM может быть прочитана и написана. Интеллектуальное хранилище предлагается микросхемами микроконтроллеров (аналог карт MMC), таких как знаменитый TPM (по стандарту Trusted Computing Group). TPM может безопасно хранить пароли или криптографические ключи. Они связаны с mobo компьютера перед использованием, поэтому обмен TPM между компьютерами не работает. Их невозможно прочитать. Их можно только очистить. Проще говоря, вы предоставляете pwd, который хотите подтвердить, чип говорит Да или Нет, но вы не можете угадать, какой pwd приведет к Да. TPM используются новым EFI BIOS для обеспечения безопасности процесса загрузки, а подпись загрузочного программного и аппаратного обеспечения хранится в TPM. Должны ли они отличаться во время загрузки,
Опция Set HDD Password - позволяет установить отдельный пароль для защиты данных на жестком диске. При решении воспользоваться данной защитой обязательно запишите введенный пароль. В некоторых жестких дисках восстановить его не возможно. См. примечание 1 ниже.
Значения опции Set HDD Password:
- Not Set (Clear) – пароль не задан.
- Set – пароль уже установлен.
Опция также может иметь другие названия:
Примечание 1. Пытаемся восстановить забытый пароль данной опции. Например, при включении ноутбука не заходя в BIOS, появляется "Enter Primary Master HDD User Password", после трехкратного ввода появляется "HDD password error code [11386]", или у другого производителя при трехразовом вводе Set HDD password ошибка System Disabled [23130]. Или заходим в BIOS, при трехразовом вводе Set HDD password ошибка System Disabled [23130]
Берем досовские программы BIOS_PW.EXE для БИОС и HDD_PW.EXE (paroli_hdd_bios) для жесткого диска.
Запускать из командной строки.
Для получения пароля:
- в дос-окне вводим имя программы,
- через пробел - код ошибки из пяти цифр, который выдает ноутбук при трижды неправильно введенном пароле,
- через пробел - цифру 0 и
- нажимаем "Ввод".
Программа выдаст несколько паролей.
Сидим и перебираем. Один из них должен подойти.
Примечание 2. Так же можно попробовать просто обнулить - сбросить Биос, например с помощью джампера.
Примечание 3. Однако с каждым годом технологии защиты данных идут вперед и уже не всегда данные методы срабатывают.
Это не очень хорошо известный факт, но все современные жесткие диски имеют очень мощный потенциал аппаратного защиты паролем. Этот пароль обычно хранится как в чипе контроллера HD (печатная плата на жестком диске) так и на жестком диске - в специальном скрытом секторе.
Установка этого пароля будет делать жесткий диск полностью непригодным для всех, кто не знает его. И не только на данном компьютере, но и на любом другом компьютере.
На современных ноутбуках можно установить пароль HDD вместе с паролем BIOS - полностью блокировав все оборудование.
Производители жестких дисков не могут разблокировать защищенный такой паролем жесткий диск, так как нет никаких "тайных" мастер паролей, и спец прошивок. Даже замена контроллера защищенного паролем жесткого диска на точно такой же контроллер от незащищенного HDD не снимет защиту на большинстве дисков.
В наше время повсеместной кражи личных данных, защита ваших личных данных, блокировкой жесткого диска с помощью пароля хорошая идея.
Но в случае потери пароля или какой либо неисправности будет гораздо сложнее или даже невозможно получить какие-либо файлы.
p.s Резервные копии - гениальная идея на все времена.
Программа Aptio Setup Utility - BIOS фирмы American Megatrends Inc на системных платах Dell Inc.
Название данной опции у данного производителя в данной версии BIOS:
Set HDD Password значение по умолчанию [Not Set]
Set Disk Password.
*** Advisable to Power Cycle System after Setting Hard Disk Passwords ***
Allows Access to Set, Modify and Clear HardDisk User and Master Passwords.
User Password need to be installed for Enabling Security.
Master Password can be Modified only when succesfully unlocked with Master Password in POST.
*** Рекомендуется отключить питание цикла системы после установки данного пароля - Hard Disk Passwords. ***
Позволяет ограничивать доступ, изменения на HardDisk.
Пользовательский и главный пароли. Пользователь Пароль должен быть установлен для включения защиты.
Мастер-пароль может быть изменен только при успешно разблокирован с мастер-паролем в POST.
Все основные операционные системы предлагают способ установить пароль для входа. Это дает людям ощущение, что доступ к их компьютеру защищен, а их файлы являются конфиденциальными.
К сожалению, это всего лишь иллюзия. Если вы загружаете, скажем, Ubuntu с USB-накопителя, вы можете смонтировать раздел Windows и прочитать все файлы без ввода пароля. Люди испытывают легкий шок, когда впервые узнают, насколько это просто.
Но это не значит, что защита вашей учетной записи с помощью пароля бесполезна, просто это означает скорее способ ограничения доступа, когда вы временно оставить свой стол. Но что делать, если вы хотите, чтобы никто не мог прочитать ваши файлы, пока вы оставляете свой компьютер без присмотра в течение нескольких часов или дней?
Методы защиты информации на уровне BIOS: идеология и подходы
О необходимости комплексного подхода к обеспечению должного уровня ИБ, соответствующего современным угрозам, а также о необходимости создания вычислительных систем, в которых средства защиты и контроля информации начинают работать уже на уровне BIOS, редакции журнала “Информационная безопасность / Information Security" рассказал Ренат Юсупов, старший вице-президент компании Kraftway.
Архитектурные особенности х86 систем связаны с поэтапной инициализацией системы: процессор – материнская плата – ОС. Доверенной можно назвать только такую вычислительную систему, в которой контролируется каждый этап работы, каждая функция внутри этапа, а также процесс передачи управления между ними. Большинство используемых средств защиты запускаются только на этапе работы ОС, что не позволяет избавить систему от вредоносных программ, стартующих на более ранних фазах, и в частности в процессе работы BIOS – первого программного кода, исполняемого после старта процессора.
– Какую вычислительную систему можно назвать доверенной и способна ли современная архитектура РС и серверов выполнять на аппаратном уровне задачи по обработке конфиденциальной информации?
– Подавляющее большинство используемых вычислительных систем построено на материнских платах импортного производства и нельзя исключить наличия в их BIOS недекларированных возможностей, так называемых back door, позволяющих обойти любые средства защиты, установленные на данном устройстве. Их выявление в настоящее время практически невозможно.
Если поставщик компьютерного оборудования не способен реализовать непрерывную цепочку доверия (проектирование самой платформы, производство ключевых компонентов и сборка, прошивка всех устройств, установка ПО и приложений, разворачивание у заказчика), то получившаяся IТ-инфраструктура не может быть доверенной. Необязательно (хотя и желательно), чтобы все элементы цепочки были "из одного флакона". Но в любом случае все фазы процесса должны быть контролируемыми, в том числе и переходы с этапа на этап.
– Насколько важен вопрос защиты системного BIOS? Способны ли встроенные в BIOS или интегрированные с ним приложения безопасности обеспечить наиболее эффективную модель превентивной защиты вычислительной системы от проникновения изображения?
– Системный BIOS является потенциально привлекательной целью для атак. Вредоносный код, работающий на уровне BIOS, может получить огромные преимущества по контролю над компьютерной системой. Он может использоваться для компрометации любых компонентов, которые загружаются позднее в процессе загрузки, включая системные функции, загрузчик, гипервизор, ОС, приложения безопасности. BIOS хранится в энергонезависимой памяти, которая сохраняется и после цикла включения/выключения. Вредоносный код, записанный в BIOS, может использоваться для повторного заражения компьютеров даже после установки новых ОС или замены жестких дисков.
Самые опасные вредоносные программы, обнаруженные в последнее время, называемые еще кибероружием: Duqu, Stuxnet, Flame, Gauss, Rakshasa, тем или иным способом связаны с процессами, исполняемыми в фазе BIOS. А наиболее сложные из них используют гипервизоры, запускаемые в фазе исполнения BIOS (Blue Pill, SubVirt, Vitriol).
Поскольку системный BIOS выполняется на компьютере очень рано в процессе загрузки с очень высоким уровнем привилегий, то вредоносный код, работающий на уровне BIOS, бывает очень сложно детектировать. Так как BIOS загружается первым, то антивирусные продукты не имеют возможности его гарантированно проверить. С другой стороны, если на рынке уже существует достаточно большое количество доверенных сборок ОС, то доверенные сборки BIOS возможно производить только компаниям, самостоятельно разрабатывающим и производящим материнские платы. При этом, используя материнские платы зарубежных вендоров, производители ПК и серверов вынуждены использовать недоверенный микрокод BIOS, который по своему объему и сложности сопоставим с микрокодом ОС.
В современных вычислительных комплексах BIOS выполняет не только функции инициализации, но также становится защищенной средой для безопасного запуска и исполнения приложений безопасности, мониторинга и управления системой. При этом функции безопасности и управления гарантированно имеют более высокий приоритет перед любыми другими приложениями, поскольку они начинают работу еще до запуска ОС. Учитывая, что BIOS является замкнутой программной средой с возможностью блокировки несанкционированной модификации пользователем (или злоумышленником), интегрированные на уровне BIOS приложения безопасности и управления обладают иммунитетом к воздействию вредоносного кода. Таким образом, встроенные в BIOS или интегрированные с ним приложения безопасности обеспечивают наиболее эффективную модель превентивной защиты вычислительной системы от проникновения и заражения.
– Каковы основные подходы к обеспечению защиты информационной инфраструктуры организации?
– Поскольку наиболее критические уязвимости лежат на достаточно низком уровне (микропроцессоры, архитектурные уязвимости, низкоуровневый код инициализации систем, скрытые виртуальные машины и т.д.), на котором их практически невозможно обнаружить штатными методами, средства защиты должны иметь принципиально другую основу. К таким основополагающим принципам безопасности можно отнести следующие: превентивность (не исправлять проблемы, а предотвращать их появление), непрерывность (отсутствие лазеек для проникновения), интеграция средств защиты информации еще на уровне проектирования железа и ПО, адаптивность (способность противостоять новым угрозам), приоритет средств защиты. При выполнении этих принципов защита становится не лоскутной, а системной, что позволяет эффективно бороться с внутренними и внешними угрозами.
Многие компьютеры дают вам возможность установить «пароль жесткого диска» вместе с паролями операционной системы и паролями BIOS. Это отличается от шифрования — пароль жесткого диска фактически не шифрует ваши файлы.
Пароли жестких дисков попадают в странную золотую середину. С одной стороны, они могут заблокировать доступ к вашему диску и быть неудобными, если вы их потеряете. С другой стороны, они не защищают ваши файлы, как при полном шифровании диска.
Заключение
На данный момент вы знаете, что ваш диск надежно заблокирован, когда вы оставляете компьютер без присмотра. И, если хотите, вы также можете защитить паролем доступ к настройкам BIOS / UEFI. Обычно это называется паролем администратора.
Пароль пользователя используется для другой цели и в данном конкретном случае не требуется. Но если это единственный доступный вам вариант, установите его, чтобы предотвратить несанкционированное изменение настроек BIOS / UEFI.
Однако следует отметить, что если кто-то открывает корпус вашего компьютера, этот пароль можно будет сбросить. Считайте это легкой мерой безопасности.
Слабые стороны пароля жесткого диска
У пароля на жестком диске есть несколько существенных недостатков. Например, есть ряд программ для анализа данных, которые обещают, что они могут удалить пароли жесткого диска. Некоторые накопители хранят пароль в незашифрованном виде в своей прошивке, и этот незашифрованный пароль можно просто прочитать из прошивки. Область настроек встроенного программного обеспечения привода можно изменить, установив флаг «пароль включен» на «пароль отключен». В крайнем случае диск можно открыть, удалить его пластины и вставить в другой диск без установки пароля.
Пароль жесткого диска также не поможет, если ваш компьютер занят во время сна, так как диск будет запрашивать только при загрузке.
Диски для блокировки паролем
Меню настроек UEFI / BIOS также не имеют стандартного набора. Каждый производитель реализует свою желаемую версию. Меню может включать графический интерфейс пользователя (GUI) или текстовый интерфейс пользователя (TUI).
Используйте клавиши со стрелками влево или вправо, чтобы перейти на вкладку «Безопасность» (или эквивалентную), если ваши настройки будут выглядеть следующим образом следующее изображение.
В противном случае, просматривайте, пока не найдете похожую настройку, где вы можете установить пароли диска.Обратитесь к руководству по материнской плате, если у вас возникнут проблемы с его поиском.
Обычно вам потребуется найти кодовое имя дисков в этом списке, выбрать его, а затем установить пароль пользователя и, возможно, главный пароль.
Предупреждение: если вы забыли пароль, не существует метода волшебного сброса. Вы в основном теряете драйв, он становится бесполезным кирпичом. Это правда, что некоторые диски позволят вам полностью стереть их, чтобы очистить пароль, но это исключение, а не правило.
Не путайте пароль пользователя на диске с пользователем UEFI / BIOS пароль.
Если параметры установки пароля пользователя / мастер-пароля для дисков недоступны, это означает, что вы должны выключить и снова включить питание машины. Просто выключите его, снова включите, а затем нажмите нужную клавишу, чтобы войти в настройку UEFI / BIOS.
Это должно произойти перед загрузкой в Windows, иначе UEFI / BIOS снова заблокирует настройки безопасности диска в качестве меры защиты от несанкционированных изменений (например, вредоносная программа может использовать это для блокировки вас).
Установите диск пользовательский пароль. После сохранения компьютер будет запрашивать этот пароль при каждом включении, чтобы разблокировать диск. Если у вас есть доступная опция, задайте и главный пароль, просто чтобы убедиться, что вы перезаписали заводские настройки по умолчанию.
Сохраните настройки BIOS / UEFI и выйдите. (Правильный ключ для этого должен отображаться где-то на экране.)
Как установить пароль диска из BIOS или UEFI
Вы можете рассматривать UEFI как разновидность микро-операционной системы, которая запускается на вашем компьютере до загрузки чего-либо еще (например, загрузчика, Windows , драйверы и тд). Вы войдете в его меню настроек, чтобы настроить пароли. BIOS аналогичен, но используется только на довольно старых компьютерах.
Пароли неудобны
Пароль жесткого диска на самом деле может быть более неудобным, чем шифрование. Допустим, вы забыли пароль жесткого диска — аппаратное обеспечение привода теперь « заблокировано » и не может использоваться до тех пор, пока вы не используете специализированное программное обеспечение для криминалистической экспертизы данных. Производители компьютеров не помогут вам снова использовать его. Шифрование удобнее. Даже если вы забудете свой пароль к зашифрованному диску, вы можете просто стереть диск и начать заново. Ваше оборудование все еще пригодно для использования.
Если вы используете шифрование, вы можете удалить жесткий диск со своего компьютера, подключить его к другому компьютеру и разблокировать его с помощью того же программного обеспечения для шифрования и секретного кода. Если вы удалите заблокированный жесткий диск, доступ к нему может оказаться более трудным. Некоторые функции пароля жесткого диска, такие как HP DriveLock, работают только в том случае, если диск находится внутри компьютера. Вы не можете просто подключить его как внешний диск и разблокировать его, если ваш компьютер выходит из строя и вам необходимо восстановить файлы.
Войдите в UEFI / BIOS Setup
К сожалению, нет стандартного способа доступа к этому меню. Каждый производитель материнских плат свободно выбирает нужный ключ настройки. Но, как правило, после того, как вы нажмете кнопку питания на вашем компьютере, вам быстро придется нажать DEL, ESC, F1, F2, F10, F12, чтобы войти в настройку.
Если у вас есть BIOS, это единственный способ получить доступ к его настройкам.
Нажмите один из этих ключей несколько раз, чтобы убедиться, что UEFI / BIOS его обнаружит. Если ни одна из клавиш не работает, прочитайте руководство по печатной плате или найдите его в Интернете, чтобы найти нужный ключ.
В современных реализациях UEFI вы можете перезагрузиться в это меню настройки непосредственно из Windows.
Как работают пароли жесткого диска?
Пароли жесткого диска являются частью спецификации ATA. Если ваш компьютер поддерживает пароли жесткого диска, вы, вероятно, найдете эту опцию на экране BIOS. Посмотрите в разделе «Безопасность» или «Пароль».
Принимая во внимание, что пароль операционной системы определяет, можете ли вы войти в систему после загрузки компьютера, а пароль BIOS определяет, можно ли вообще загрузить компьютер, пароль жесткого диска контролирует доступ к самому жесткому диску. Когда вы загружаете свой компьютер, вам нужно будет ввести пароль жесткого диска. Если вы не знаете пароль жесткого диска, ваш жесткий диск будет заблокирован и не будет работать.
В отличие от паролей BIOS и операционной системы, пароль жесткого диска защищает ваши данные, даже если кто-то открывает ваш компьютер и удаляет жесткий диск. Пароль жесткого диска хранится в самой прошивке диска. Использование пароля жесткого диска помогает защитить ваши файлы, в отличие от пароля операционной системы или пароля BIOS .
Вы должны установить пароль жесткого диска? Нет, просто используйте шифрование
Думайте о своем жестком диске как о комнате, содержащей все файлы на вашем жестком диске. Пароль жесткого диска — это замок на двери в эту комнату. После того, как кто-то снял блокировку или скрылся снаружи, он имеет полный доступ ко всем вашим файлам.
С другой стороны, думайте о шифровании всего диска как о том, что вы берете все файлы на вашем жестком диске и копируете их с помощью кода, который вы знаете. Сами файлы бесполезны, если кто-то не знает ваш секретный код. Отключить или обойти блокировку невозможно. Сами файлы защищены, потому что без ключа они бесполезны.
Шифрование — это просто самый безопасный способ защиты файлов на вашем жестком диске. Это также удобнее, чем возиться с паролями жесткого диска. Вместо того, чтобы устанавливать пароль жесткого диска, включите шифрование всего диска — используйте бесплатное приложение TrueCrypt , включите BitLocker в корпоративных версиях Windows или включите шифрование FileVault в Mac OS X. Новые устройства Windows 8.1 даже начинают использовать шифрование по умолчанию .
Нет никакой реальной причины использовать пароль жесткого диска. Шифрование обеспечивает гораздо большую безопасность и удобнее в использовании. Пропустите функцию пароля жесткого диска вашего компьютера и зашифруйте его жесткий диск, если вы действительно хотите защитить свои файлы.
У ваших дисков есть собственная операционная система
Одно из решений сохранить ваши данные в тайне полное шифрование диска. Другое простое решение — защитить сам диск паролем. Прошивка — это программа, которая работает на устройстве, и на дисках они тоже есть.
Это не зависит от вашей операционной системы и может применять свои собственные правила, что означает, что никто не сможет читать и записывать на этот диск без предоставления правильного пароля.
Сам диск откажется от любого доступа и не может быть обманут другой операционной системой. Даже если диск будет удален и перемещен на другой компьютер, доступ будет запрещен.
Читайте также: