web-dev-qa-db-ja.com

BIOSパスワードとBitLockerプリブートの比較PIN

PCのセキュリティを最大限に確保しようとしています。ビジネスクラスのHPノートブックでWindows 10 Proを実行しています。

間違えない限り、BIOSパスワードとBitLockerの起動前の両方PINはDMA攻撃を防ぐのに役立ちます。私も推測していると思います。これらの機能が異なること

BIOSパスワードまたはBitLockerのプリブートPINを使用するオプションのどちらかが他よりも望ましいですか?両方を使用する必要がありますか?どちらかのオプションに固有の(不)利点がありますか?

ありがとう。

4
Daniel

間違えない限り、BIOSパスワードとBitLockerの起動前の両方PINはDMA攻撃を防ぐのに役立ちます。私も推測していると思います。これらの機能が異なること

BIOSパスワードはDMA攻撃に影響を与えません。BitLockerのプリブートPINは、特定のタイプのDMA「early DMA」と呼ばれる攻撃は、IOMMUが初期化され、デバイスからのメモリアクセスを制限する準備が整う前に実行されます。詳細については、 こちら を参照してください。

BIOSパスワードまたはBitLockerのプリブートPINを使用するオプションのどちらが他よりも望ましいですか?両方を使用する必要がありますか?どちらのオプションにも固有の(欠点)利点がありますか?

彼らは全く異なる目的を持っています。 BIOSパスワードは非常に基本的な保護手段であり、制限された物理アクセス(特に、キーボードなどの標準入力デバイスへのアクセスのみ)を持つ攻撃者に対してのみ役立ちますとマウス)。これは、システムを起動したり、ファームウェアの設定を変更したりする攻撃者からの保護を目的としています。攻撃者は、物理マザーボードとファームウェアチップに完全にアクセスできる場合、簡単に BIOSパスワードをバイパス できます。さらに、BIOSパスワードは、誰かがハードドライブを取り外して別のコンピューターに入れて内容全体を読み取ることを妨げません。

すべてのBIOSが同じように動作するとは限らないことに注意することが重要です。ほとんどのBIOSは パスワードを保存 をプレーンテキストで不揮発性メモリに保存し、ユーザーが再度入力しない限り、起動または構成の変更を許可しません。これは、明らかに、特に安全ではありません。ただし、ストレージデバイス自体が入力されたパスワードを使用してハードウェア暗号化を実行するSED(Self-Encrypting Drive)と呼ばれる機能を強化するためにそれを使用する場合もあります。他の一部のシステムは、パスワードの保存と検証をストレージドライブ自体にオフロードするかなりあいまいなATAセキュリティ機能を使用して、パスワードが入力されるまでドライブが読み取りを拒否するようにします。これらはすべて「BIOSパスワード」と呼ばれることがよくあります。

1
forest