Dellクライアント製品の不正なBIOSパスワード リセット ツール

Summary: Dellクライアント製品の不正なBIOSパスワード リセット ツール

Article Content


Symptoms

Cause

詳細:
一部のDellクライアント ビジネス向けおよび個人ユーザー向けプラットフォームは、承認済みのお客様がパスワードを忘れた場合に支援するように設計されたパスワード リセット機能をサポートします。Dellでは、BIOSリカバリー パスワードを生成することができるパスワード生成ツールを認識しています。Dellによって承認されていないツールは、BIOSパスワードおよびBIOS管理(ハードドライブ)のHDDパスワードをリセットするために、物理的に存在する攻撃者によって使用されることがあります。システムへの物理的なアクセスが可能な未認証の攻撃者は、この脆弱性を悪用して、BIOSセットアップ構成、HDDアクセス、およびBIOS起動前認証のセキュリティ制限をバイパスする可能性があります。

Resolution

解決策:
Dellでは、ビジネス向けプラットフォームでの未承認のリセット パスワードの使用について、いくつかの緩和策と制限事項を提供しています。お客様は、セキュリティのベスト プラクティスに従って、デバイスへの不正な物理アクセスを防止することをお勧めします。またお客様は、BIOSセットアップ(2011年以降のプラットフォームで利用可能)からマスター パスワードのロックアウト機能を有効化して、管理者、システム、HDDの各パスワードがリセットされないように保護することもできます。

詳細については、次のDellセキュリティ アドバイザリーを参照してください:https://www.dell.com/support/kbdoc/000180741


よくある質問/FAQ:

Q: 影響を受けるモデルを教えてください。
A:これは、ほとんどのDellクライアント ビジネス向けシステムと、一部の個人ユーザー向けシステムに影響します。BIOS起動前パスワード プロンプト(Dell Security Manager)に次の識別子を表示するすべてのプラットフォームが対象となります
  • <SERVICE TAG or HDD SN>-D35B
  • <SERVICE TAG or HDD SN>-1F5A
  • <SERVICE TAG or HDD SN>-595B
  • <SERVICE TAG or HDD SN>-2A7B
  • <SERVICE TAG or HDD SN>-1D3B
  • <SERVICE TAG or HDD SN>-1F66
  • <SERVICE TAG or HDD SN>-6FF1
  • <SERVICE TAG or HDD SN>-BF97

Q: 不正なパスワード リセットからプラットフォームを保護するにはどうすればよいですか?
A:プラットフォームの保護を促進するには、お客様はいくつかの緩和策とベスト プラクティスに従う必要があります。
  • [Master Password Lockout]。これはBIOSセットアップで有効にすることができます。有効にすると、管理者、システム、HDDの各パスワードは、リカバリー パスワードを使用してリセットされることがなくなります。(2011年以降に製造されたシステムで使用可能)
  • リカバリー パスワードを使用するには、ユーザーがシステムのある場所に物理的にいる必要があります。そのため、プラットフォームの物理的な保護に関しては常に練習が必要です。

警告: [Master Password Lockout]オプションが選択されていて、その後、お客様がパスワードを忘れた場合、Dellはパスワードのリカバリーを支援できません。プラットフォームは復旧不可能になり、マザー ボードまたはハード ドライブの交換が必要になります
Q: このツールをリモートで使用してパスワードをリセットすることができますか?
A:いいえ。リカバリー パスワードを使用するには、ユーザーがシステムのある場所に物理的にいる必要があります。そのため、プラットフォームの物理的な保護に関しては常に練習が必要です。

Q: このツールがプラットフォームで使用されたかどうかを判断する方法を教えてください。
A:HDDパスワードリカバリー パスワードの使用は検出できます。これは、リカバリー パスワードを使用すると、該当するBIOSパスワード(管理者/システム、またはBIOSで管理されているHDD)が削除されるからです。

Q: リカバリー パスワードを使用すると、HDD上のデータへのアクセスが許可されますか?
A:HDDパスワードの設定時に、HDDリカバリー パスワードが使用された場合にHDDを強制的に消去するオプションが表示されます。HDDパスワードの設定時にこのオプションを選択した場合、HDDリカバリー パスワードを使用するとHDDが消去されます。  したがって、データ アクセスは許可されません。このオプションが選択されていない場合、HDD上のデータは保持されます。ただし、HDD暗号化(BitLockerなど)が使用されている場合、データはアクセス可能ですが、ドライブ上の情報は漏洩から保護されます。

Q: リカバリー パスワードを使用すると、オペレーティング システムへのアクセスは許可されますか?
A:リカバリー パスワードを使用しても、OS認証情報をバイパスすることはできません。

Q: これは、外部のSED管理アプリケーションを使用してドライブ上にパスワードを設定する自己暗号化ドライブに影響しますか?
A: このツールは、外部のSED管理アプリケーションによってプロビジョニングおよび管理される自己暗号化ドライブには影響しません。リセット ツールは、BIOSセットアップによって管理されるBIOSパスワードにのみ影響します。

Q: このツールは、BIOSファームウェアとプラットフォームのルート オブ トラストの整合性を侵害しますか?
A:リカバリー パスワードを使用しても、BIOSファームウェアの整合性が損なわれることはありません。BIOSファームウェアは、NIST 800-147署名検証保護に加えて、インテルBootGuard、インテルBIOSGuard、およびチップセット ファームウェア書き込み保護などの追加機能によって保護されています。このツールを使用すると、BIOSセットアップ インターフェイスへのアクセスが可能になります。これにより、[Secure Boot Enable]やTPM設定など、プラットフォームのセキュリティ設定を変更できるようになります。

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters