web-dev-qa-db-ja.com

サーバーのBIOSをパスワードで保護すると、機密データを保護できますか?

BIOSをパスワードで保護したサーバーを実行しています。起動前ではなく、BIOSセットアップに入る前にこのパスワードを入力する必要はありません。私はこれを日常からやりました。ただし、BIOSにはそれほど興味深い設定はありません。日付/時刻、ドライブとポートの有効化/無効化などの設定のみを取得しました。

もちろん、誰もがセットアップを入力してコンピューターのマスターブートパスワードを設定できるようにしたくないのですが、それは破壊行為から保護することです。

システムのセットアップをパスワードで保護すると、システムに保存されているファイル内の機密データを保護できますか?


この質問は今週の情報セキュリティの質問として取り上げられました。
詳細については、2014年2月28日ブログエントリをお読みください。または今週の質問を送信してください

29
user21287

BIOS管理者レベルのパスワードで保護される最も一般的なものは、ブートプロセスです。 BIOSへの管理者レベルのアクセス権を持つユーザー(保護されていない、またはパスワードの侵害による)は、好きなメディアから起動するようにコンピューターを設定できます。これにより、攻撃者はドライブ上の暗号化されていないデータに適用しているアクセス制限を回避できます。これにより、次のことが可能になります。

  • ドライブに暗号化されずに保存されているデータを読み取ります。
  • ローカルユーザーの資格情報に対してクラッキングツールを実行するか、オフラインでクラッキングするための認証データをダウンロードします。
  • レジストリまたはパスワードファイルを編集して、ネイティブOS内でアクセスできるようにします。
  • 悪意のあるファイルをアップロードし、次の起動時にそれらを実行するようにシステムを構成します。

もちろん、BIOSへのアクセスは、通常、攻撃者が既にコンピュータに物理的にアクセスできることを意味します。この時点で、すべての賭けはとにかくオフです-多くのBIOS(およびそのパスワード)は、マザーボードの単純なジャンパーでクリアできます。または、攻撃者はハードドライブを引っ張って、自分のシステムでそれを好きなように実行できます。とはいえ、推奨事項の多く ここの私の投稿では (およびその中の他の回答、およびリンクされたスレッド)は、検討する価値があります。

  • ハードドライブを暗号化する
  • コンピュータが物理的に安全であることを確認します(例:施錠された部屋/キャビネット/シャーシ)
  • 暗号化とBIOSに強力なパスワードを使用する

BIOSをパスワードで保護することは完全に無駄な作業ではありません。ただし、これは絶対に依存しない方法であってはなりません。 BIOSのパスワードをその目的で有効にするには、バイパスされないようにするための他の対策が必要です。

13
Iszi

意味のある方法ではありません。この可能性があるを防ぐ唯一の方法は、liveUSB/liveCDからコンピューターを再起動する(したがって、データへのオフラインアクセスを取得する)悪意のある物理的な攻撃者です。

機密データを保護したい場合は、ある種のディスク暗号化をセットアップする必要があります(システムが実行されているときにデータにonlyアクセスできるように)。これには、起動時に何らかの対話が必要になることに注意してください(例:パスフレーズの入力)。

物理的にコンピューターの前にいる攻撃者は、ドライバーでケースを開いて、自分のやり方でディスク上に置くこともできます。または、コンピューターを腕の下に置いて走り去ることもできます。 BIOSパスワードがないため、それに対する保護はありません。 BIOSパスワードは、マシンに物理的に行くことを想定されていない攻撃者に対する保護のみを提供します。その場合、BIOSパスワードはBIOS設定を保護します。

攻撃者が変更する可能性のある2つの設定は、現在の日付、およびブートシーケンス。起動シーケンスはかなり明白です。これを変更することで、攻撃者はマシンをハードディスクではなく持参したUSBキーから起動し、ハードディスクとその貴重なファイルへのフルアクセスを与えることができます。

dateを変更すると、エッジケースになります。マシンにそれが過去のものであると信じ込ませることにより、攻撃者はセキュリティに影響を与える可能性がある他の動作を引き起こす可能性があります。たとえば、OSレベルのログオンで証明書付きのスマートカードが使用されている場合、OSは証明書が取り消されていないことを確認します。攻撃者がPIN=コードでスマートカードを盗むことができたが、盗難が発見され、証明書が取り消された場合、攻撃者は日付を変更して、マシンが証明書はまだ失効しています

最近のマシンは [〜#〜] uefi [〜#〜] と呼ばれるものを使用する可能性があります:オペレーティングシステムを起動するための新しい標準です。その1つの特徴は、ブートローダーに署名できることです。BIOSはその署名を検証します。署名のないOSは起動しません。これは Secure boot と呼ばれます。ただし、ほとんどのBIOSでは、この機能を無効にすることができます。これは、BIOSパスワードで保護できる別のBIOS設定です。

12
Thomas Pornin