戴尔客户端产品未获授权的 BIOS 密码重置工具

Summary: 戴尔客户端产品未获授权的 BIOS 密码重置工具

Article Content


Symptoms

Cause

详细信息:
某些戴尔客户端商业和消费者平台支持密码重置功能,旨在帮助忘记密码的已获授权客户。戴尔注意到一个可生成 BIOS 恢复密码的密码生成工具。实际位于系统旁的攻击者可使用这一未经戴尔授权的工具来重置 BIOS 密码和 BIOS 管理的硬盘密码。可物理访问系统的未经身份验证的攻击者可能会利用此漏洞来绕过 BIOS 设置配置、硬盘访问和 BIOS 启动前身份验证的安全限制。

Resolution

解决办法:
针对在商业平台上使用未经授权的重置密码,戴尔提供了多个缓解措施和限制。我们建议客户遵循安全最佳实践,并防止对设备的未经授权的物理访问。客户还可以选择在 BIOS 设置中启用 Master Password Lockout 功能(2011 年开始的平台上提供),以避免管理员、系统和硬盘密码被重置。

有关详细信息,请参阅戴尔的安全公告:https://www.dell.com/support/kbdoc/000180741


常见问题:

问:哪些型号会受到影响?
答:这会影响大多数戴尔客户端商业系统和某些消费者系统。在 BIOS 启动前密码提示 (Dell Security Manager) 中显示以下标识符的所有平台
  • <SERVICE TAG or HDD SN>-D35B
  • <SERVICE TAG or HDD SN>-1F5A
  • <SERVICE TAG or HDD SN>-595B
  • <SERVICE TAG or HDD SN>-2A7B
  • <SERVICE TAG or HDD SN>-1D3B
  • <SERVICE TAG or HDD SN>-1F66
  • <SERVICE TAG or HDD SN>-6FF1
  • <SERVICE TAG or HDD SN>-BF97

问:如何避免我的平台发生未获授权的密码重置?
答:客户应遵循几个缓解措施和最佳实践来帮助保护其平台。
  • Master Password Lockout。可以在 BIOS 设置中启用此功能。启用后,管理员、系统和硬盘密码会受到保护,无法使用恢复密码进行重置。(2011 年或之后生产的系统上提供)
  • 用户必须实际位于系统旁才能使用恢复密码。因此,应始终对平台实施物理保护。

警告:如果选择了 Master Password Lockout 选项并且客户随后忘记了密码,戴尔将无法协助恢复密码。平台将无法恢复,需要更换主板或硬盘
问:此工具是否可以远程重置密码?
答:否,用户必须实际位于系统旁才能使用恢复密码。因此,应始终对平台实施物理保护。

问:如何确定此工具是否已在我的平台上使用?
答:恢复密码的使用可以被检测到,因为使用恢复密码会导致相应的 BIOS 密码(管理员/系统或 BIOS 管理的硬盘)被删除。

问:使用恢复密码以后是否可以访问硬盘上的数据?
答:设置硬盘密码时会显示一个选项,如果使用硬盘恢复密码则强制执行硬盘擦除。如果在设置硬盘密码时选择了此选项,则会在使用硬盘恢复密码时擦除硬盘。  因此,不允许访问数据。如果未选择此选项,则保留硬盘上的数据。但是,如果使用了硬盘加密(例如 BitLocker),则可以访问数据,但硬盘上的信息不会泄露。

问:使用恢复密码后是否可以访问操作系统?
答:使用恢复密码不允许绕过操作系统凭据。

问:这是否会影响使用外部 SED 管理应用程序在驱动器上设置密码的自加密驱动器?
答: 此工具不影响由外部 SED 管理应用程序配置和管理的自加密驱动器。该重置工具仅影响 BIOS 设置管理的 BIOS 密码。

问:此工具是否会危害 BIOS 固件和平台信任根的完整性?
答:使用恢复密码不会危害 BIOS 固件的完整性。BIOS 固件受 NIST 800-147 签名验证保护以及 Intel BootGuard、Intel BIOSGuard 和芯片组固件写入保护等其他功能的保护。使用该工具可能允许访问 BIOS 设置界面,从而允许更改平台的安全设置,例如 Secure Boot Enable 和 TPM 设置。

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters