Dell-klientprodukter – obehöriga verktyg för återställning av BIOS-lösenord

Summary: Dell-klientprodukter – obehöriga verktyg för återställning av BIOS-lösenord

Article Content


Symptoms

Cause

Mer information:
Utvalda Dell-klientplattformar för kommersiell användning och konsumenter har funktioner för lösenordsåterställning som är utformade för att hjälpa behöriga kunder som glömmer sitt lösenord. Dell känner till verktyg för lösenordsgenerering som kan generera BIOS-återställningslösenord. Verktygen, som inte har godkänts av Dell, kan användas av en fysiskt närvarande angripare för att återställa BIOS-lösenord och BIOS-hanterade hårddisklösenord. En ej behörig angripare med fysisk åtkomst till systemet kan potentiellt utnyttja det här säkerhetsproblemet för att kringgå säkerhetsbegränsningar för BIOS-konfiguration, hårddiskåtkomst och BIOS-autentisering före start.

Resolution

Lösning:
Dell tillhandahåller flera åtgärder och begränsningar för användning av ej behörig återställning av lösenord på kommersiella plattformar. Vi rekommenderar att kunderna följer bästa praxis för säkerhet och förhindrar obehörig fysisk åtkomst till enheter. Kunderna kan också välja att aktivera funktionen för utelåsning av huvudlösenord från BIOS-inställningar (finns på plattformar från 2011) för att skydda administratörs-, system- och hårddisklösenord från att återställas.

Mer information finns i Dells säkerhetsråd: https://www.dell.com/support/kbdoc/000180741


Vanliga frågor och svar:

F: Vilka modeller berörs?
S: Detta påverkar de flesta kommersiella Dell-klientsystem och utvalda Dell-klientsystem för konsumenter. Alla plattformar som visar följande identifierare i BIOS-förstartsmeddelanden om lösenord (Dell Security Manager)
  • <SERVICE TAG or HDD SN>-D35B
  • <SERVICE TAG or HDD SN>-1F5A
  • <SERVICE TAG or HDD SN>-595B
  • <SERVICE TAG or HDD SN>-2A7B
  • <SERVICE TAG or HDD SN>-1D3B
  • <SERVICE TAG or HDD SN>-1F66
  • <SERVICE TAG or HDD SN>-6FF1
  • <SERVICE TAG or HDD SN>-BF97

F: Hur kan jag skydda plattformen från obehörig lösenordsåterställning?
S: Det finns flera åtgärder och metoder enligt bästa praxis som kunder bör använda för att skydda sina plattformar.
  • Utelåsning av huvudlösenord. Den här funktionen kan aktiveras i BIOS-inställningarna. När funktionen är aktiverad skyddas administratörs-, system- och hårddisklösenord från återställning med återställningslösenord. (Tillgängligt på system som har tillverkats 2011 eller senare)
  • En användare måste vara fysiskt närvarande vid systemet för att använda återställningslösenordet. Det innebär att plattformen alltid ska skyddas fysiskt.

Varning! Om alternativet för utelåsning av huvudlösenord är valt och kunden senare glömmer lösenordet kan Dell inte hjälpa till med återställning av lösenord. Plattformen kan inte återställas och moderkortet eller hårddisken måste bytas ut.
F: Kan det här verktyget användas via fjärranslutning för återställning av mina lösenord?
S: Nej, en användare måste vara fysiskt närvarande vid systemet för att använda återställningslösenordet. Det innebär att plattformen alltid ska skyddas fysiskt.
 
F: Hur kan jag ta reda på om verktyget har använts på plattformen?
S: Användning av återställningslösenordet kan upptäckas, eftersom användningen leder till att tillämpliga BIOS-lösenord tas bort (administratörs-/systemlösenord eller BIOS-hanteradehårddisklösenord).
 
F: Ger användning av återställningslösenordet åtkomst till data på hårddisken?
S: När du ställer in hårddisklösenordet visas ett alternativ för framtvingad hårddiskrensning om återställningslösenordet för hårddisken används. Om det alternativet valdes när hårddisklösenordet ställdes in rensas hårddisken när återställningslösenordet för hårddisken används.  Så, nej, ingen åtkomst till data ges. Om alternativet inte valdes lämnas data kvar på hårddisken. Om hårddiskkryptering (till exempel BitLocker) används är data emellertid tillgängliga men informationen på enheten skyddas från att visas.
 
F: Ger användning av återställningslösenordet åtkomst till operativsystemet?
S: Användning av återställningslösenordet innebär inte att inloggningsuppgifterna för operativsystemet åsidosätts.
 
F: Påverkar det här självkrypterande enheter där ett externt SED-hanteringsprogram används för inställning av lösenord på enheten?
S:  Verktyget påverkar inte självkrypterande enheter som tillhandahålls och hanteras av ett externt SED-hanteringsprogram. Återställningsverktyget påverkar endast BIOS-lösenord som hanteras via BIOS-inställningarna.
 
F: Äventyrar verktyget integriteten för den fasta BIOS-programvaran eller förtroenderoten för plattformen?
S: Användning av återställningslösenordet äventyrar inte integriteten för den fasta BIOS-programvaran. Fast BIOS-programvara skyddas av NIST 800-147-signaturverifieringsskydd samt av ytterligare funktioner, till exempel Intel BootGuard, Intel BIOSGuard och skrivskydd för fast programvara för kretsuppsättning. Användning av verktyget kan ge åtkomst till gränssnittet för BIOS-inställningar, vilket gör det möjligt att ändra säkerhetsinställningarna för plattformen, till exempel inställningarna för Secure Boot Enable och TPM.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters