Dell-klientprodukter, uautoriserede nulstillingsværktøjer til BIOS-adgangskoder

Summary: Dell-klientprodukter, uautoriserede nulstillingsværktøjer til BIOS-adgangskoder

Article Content


Symptoms

Cause

Detaljer:
Udvalgte Dell-klientplatforme til kommerciel brug og forbruger understøtter en funktion til nulstilling af adgangskoder, der er designet til at hjælpe autoriserede kunder, som glemmer deres adgangskoder. Dell kender til værktøjer til oprettelse af adgangskoder, der kan generere BIOS-genoprettelsesadgangskoder. Værktøjerne, som ikke er godkendt af Dell, kan bruges af en fysisk tilstedeværende hacker til at nulstille BIOS-adgangskoder og BIOS-administrerede (harddisk) HDD-adgangskoder. En uautoriseret hacker med fysisk adgang til systemet kan potentielt udnytte denne sårbarhed til at omgå sikkerhedsforanstaltninger for BIOS-opsætningskonfiguration, HDD-adgang og BIOS-pre-boot-godkendelse.

Resolution

Løsning:
Dell giver adskillige begrænsninger og restriktioner til brugen af uautoriserede nulstillingsadgangskoder på kommercielle platforme. Vi anbefaler, at kunder følger bedste fremgangsmåder og forhindrer uautoriseret fysisk adgang til enheder. Kunder kan også vælge at aktivere Master Password Lockout-funktionen fra BIOS-opsætningen (tilgængelig på platforme fra 2011) for at beskytte administrator-, system- og HDD-adgangskoder mod at blive nulstillet.

Du kan finde flere oplysninger i Dells Security Advisory: https://www.dell.com/support/kbdoc/000180741


Ofte stillede spørgsmål:

Sp.: Hvilke modeller påvirkes?
Sv.: Det påvirker de fleste kommercielle Dell-klientsystemer og udvalgte forbrugersystemer. Enhver platform, der viser følgende id'er på forespørgsler om BIOS Preboot-adgangskoder (Dell Security Manager)
  • <SERVICE TAG or HDD SN>-D35B
  • <SERVICE TAG or HDD SN>-1F5A
  • <SERVICE TAG or HDD SN>-595B
  • <SERVICE TAG or HDD SN>-2A7B
  • <SERVICE TAG or HDD SN>-1D3B
  • <SERVICE TAG or HDD SN>-1F66
  • <SERVICE TAG or HDD SN>-6FF1
  • <SERVICE TAG or HDD SN>-BF97

Sp.: Hvordan kan jeg beskytte min platform mod uautoriseret nulstilling af adgangskoder?
Sv.: Der er adskillige afhjælpninger og bedst fremgangsmåder, som kunderne bør følge for at beskytte deres platforme.
  • MPL (Master Password Lockout). Det kan aktiveres fra BIOS-opsætningen. Når den er aktiveret, er administrator-, system-og HDD-adgangskoder beskyttet mod nulstilling ved hjælp af gendannelsesadgangskoder. (Findes på systemer, der er produceret i 2011 eller senere)
  • En bruger skal være fysisk til stede ved systemet for at bruge genoprettelsesadgangskoden. Det betyder, at der altid skal være fysiske beskyttelse af platformen.

Advarsel: Hvis Master Password Lockout-indstillingen er valgt, og kunden efterfølgende glemmer adgangskoden, vil Dell ikke være i stand til at hjælpe med at gendanne adgangskoderne. Platformen kan ikke gendannes, og bundkortet eller harddisken skal udskiftes.
Sp.: Kan dette værktøj bruges eksternt til at nulstille mine adgangskoder?
Sv.: Nej, en bruger skal være fysisk til stede på systemet for at bruge gendannelsesadgangskoden. Det betyder, at der altid skal være fysiske beskyttelse af platformen.
 
Sp.: Hvordan kan jeg afgøre, om dette værktøj blev brugt på min platform?
Sv.: Brug af gendannelsesadgangskoden kan registreres, da dens brug medfører fjernelse af de relevante BIOS -adgangskoder (administrator/system eller BIOS-administreret harddisk).
 
Sp.: Giver brug af gendannelsesadgangskoden mulighed for adgang til data på min harddisk?
Sv.: Når HDD-adgangskoden indstilles, vises en indstilling for at gennemtvinge en harddiskformatering, hvis HDD-gendannelsesadgangskoden anvendes. Hvis denne indstilling blev valgt, da HDD-adgangskoden blev indstillet, formateres harddisk ved brug af HDD-gendannelsesadgangskoden.  Så der er ikke tilladt noget data. Hvis denne indstilling ikke er valgt, bevares dataene på harddisken. Hvis der imidlertid bruges harddiskkryptering (f.eks. BitLocker), er dataene tilgængelige, men oplysningerne på drevet er beskyttet mod at blive vist.
 
Sp.: Giver brug af gendannelsesadgangskoden adgang til operativsystemet?
Sv.: Brug af genoprettelsesadgangskoden giver ikke tilladelse til, at OS-legitimationsoplysningerne springes over.
 
Sp.: Påvirker dette selvkrypteringsdrev, der anvender et eksternt SED-administrationsprogram til at indstille adgangskoder på mit drev?
Sv.:  Dette værktøj påvirker ikke selvkrypterende drev, der er klargjort og administreret af eksterne SED-administrationsprogrammer. Nulstilværktøjet påvirker kun BIOS-adgangskoder, der administreres af BIOS-opsætningen.
 
Sp.: Svækker dette værktøj integriteten af min BIOS-firmware og min platforms rodnøgle?
Sv.: Brugen af genoprettelsesadgangskoden kompromitterer ikke integriteten af BIOS-firmwaren. BIOS-firmware er beskyttet af NIST 800-147-beskyttelse med digital signatur samt yderligere funktioner som f.eks. Intel BootGuard, Intel BIOSGuard og beskyttelse til chipset-firmware. Brug af værktøjet kan give adgang til BIOS-opsætningsbrugerfladen, som gør det muligt at ændre platformens sikkerhedsindstillinger, f.eks. Secure Boot Enable og TPM-indstillinger.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters