Dell-työasematuotteiden valtuuttamattomat BIOS-salasanan palautustyökalut

Summary: Dell-työasematuotteiden valtuuttamattomat BIOS-salasanan palautustyökalut

Article Content


Symptoms

Cause

Tiedot:
Tietyt Dellin kaupalliseen käyttöön ja kuluttajille suunnatut työasemaympäristöt tukevat salasanan nollausta, jonka tarkoituksena on auttaa salasanansa unohtaneita valtuutettuja asiakkaita. Dell on tietoinen salasananluontityökaluista, joilla voidaan luoda BIOS-palautussalasanoja. Fyysisesti paikalla oleva hyökkääjä voi käyttää työkaluja, joita Dell ei ole valtuuttanut, BIOS-salasanojen ja BIOSin hallitsemien kiintolevyjen salasanojen nollaamiseen. Todentamaton hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi mahdollisesti hyödyntää haavoittuvuutta BIOS-määrityksen, kiintolevyn käyttöoikeuden ja BIOSin käynnistystä edeltävän todennuksen suojausrajoitusten ohittamiseen.

Resolution

Ratkaisu:
Dell tarjoaa useita lievennyskeinoja ja rajoituksia luvattomaan salasanojen nollaukseen kaupallisissa ympäristöissä. Suosittelemme, että asiakkaat noudattavat suositeltuja turvallisuuskäytäntöjä ja estävät luvattoman fyysisen pääsyn laitteiden luokse. Asiakkaat voivat myös ottaa BIOS-määrityksessä käyttöön Pääsalasanan lukitus ‑toiminnon (saatavilla käyttöympäristöissä vuodesta 2011 alkaen), joka suojaa järjestelmänvalvojien, järjestelmien ja kiintolevyjen salasanoja nollaamiselta.

Lisätietoja on Dellin tietoturvatiedotteessa https://www.dell.com/support/kbdoc/000180741


Usein kysyttyjä kysymyksiä

K: Mitä malleja asia koskee?
V: Se koskee useimpia Dellin kaupallisia työasemajärjestelmiä ja tiettyjä kuluttajajärjestelmiä. Se koskee kaikkia ympäristöjä, jotka näyttävät seuraavat tunnisteet BIOSin käynnistystä edeltävän salasanan syöttämisen yhteydessä (Dell Security Manager):
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-D35B
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-1F5A
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-595B
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-2A7B
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-1D3B
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-1F66
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-6FF1
  • <PALVELUTUNNISTE tai KIINTOLEVYN SARJANUMERO>-BF97

K: Miten voin suojata ympäristön luvattomalta salasanan nollaamiselta?
V: Asiakkaat voivat käyttää ympäristön suojaamiseen useita lievennyskeinoja ja suositeltuja käytäntöjä.
  • Pääsalasanan lukitus. Se voidaan ottaa käyttöön BIOS-määrityksestä. Kun se otetaan käyttöön, järjestelmänvalvojan, järjestelmän ja kiintolevyn salasanat suojataan niin, ettei niitä voi nollata palautussalasanalla. (Käytettävissä järjestelmissä, jotka on valmistettu aikaisintaan vuonna 2011.)
  • Käyttäjän on oltava fyysisesti läsnä, jotta palautussalasanaa voi käyttää. Tämän vuoksi ympäristön fyysinen suojaus on aina varmistettava.

Varoitus: Jos Pääsalasanan lukitus on valittuna ja asiakas unohtaa salasanan, Dell ei voi auttaa salasanojen palauttamisessa. Ympäristöä ei voi palauttaa ja emolevy tai kiintolevy on vaihdettava.
K: Voiko tätä työkalua käyttää salasanojen nollaamiseen etäyhteydellä?
V: Ei, käyttäjän on oltava fyysisesti läsnä, jotta palautussalasanaa voi käyttää. Tämän vuoksi ympäristön fyysinen suojaus on aina varmistettava.
 
K: Miten voin selvittää, onko työkalua käytetty käyttöympäristössäni?
V: Palautussalasanan käyttö voidaan havaita, koska sen käyttö poistaa asianmukaiset BIOS-salasanat (järjestelmänvalvoja/järjestelmä tai BIOSin hallitsema kiintolevy).
 
K: Mahdollistaako palautussalasanan käyttö pääsyn kiintolevylläni oleviin tietoihin?
V: Kun kiintolevyn salasana määritetään, kiintolevyn tyhjennys voidaan pakottaa käytettäessä kiintolevyn palautussalasanaa. Jos tämä vaihtoehto valitaan kiintolevyn salasanan määrittämisen yhteydessä, kiintolevy tyhjennetään, mikäli kiintolevyn palautussalasanaa käytetään.  Tietojen käyttö ei ole tällöin mahdollista. Jos kyseistä vaihtoehtoa ei valita, kiintolevyn tiedot säilyvät. Jos kiintolevy sen sijaan on salattu (esimerkiksi BitLockerilla), levy on nähtävissä mutta sen tietoja ei voi lukea.
 
K: Mahdollistaako palautussalasanan käyttö pääsyn käyttöjärjestelmään?
V: Palautussalasanan käyttö ei mahdollista käyttöjärjestelmän tunnistetietojen ohittamista.
 
K: Vaikuttaako tämä itsesalaaviin asemiin, jotka käyttävät ulkoista SED-hallintasovellusta aseman salasanojen asettamiseen?
V:  Työkalu ei vaikuta itsesalaaviin asemiin, jotka on valmisteltu ja joita hallitaan ulkoisilla SED-hallintasovelluksilla. Palautustyökalu vaikuttaa vain BIOS-määrityksessä hallittaviin BIOS-salasanoihin.
 
K: Vaarantaako työkalu BIOS-laiteohjelmiston ja ympäristön peruskäyttöoikeuden eheyden?
V: Palautussalasanan käyttö ei vaaranna BIOS-laiteohjelmiston eheyttä. BIOS-laiteohjelmisto on suojattu NIST 800-147 -allekirjoituksen varmennuksella ja muilla ominaisuuksilla, kuten Intel BootGuardilla, Intel BIOSGuardilla ja piirisarjan laiteohjelmiston kirjoitussuojauksella. Työkalun käyttö voi mahdollistaa pääsyn BIOS-määritysliittymään, jonka kautta voi muuttaa ympäristön suojausasetuksia, kuten suojatun käynnistyksen käyttöönottoa ja TPM-asetuksia.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters