BIOSにパスワードを追加すると、マルウェアによる感染を防ぐことができますか?

コンピュータのセキュリティを強化する方法を検討しています。その一つがBIOSです。

BIOSにパスワードを追加すると、マルウェアによる感染を防ぐことができますか?

私はこの記事を見ました:マルウェアからBIOSを保護するパスワードについての言及。

これに関する情報は大歓迎です。

43
何年も前に、コマンドプロンプトからBIOSのパスワードをリセットするためのQBASICで書かれた短いプログラムがありました。それ以来、セキュリティがそれほど向上したとは思わないが、UEFIが何らかの魔法を提供する可能性はある。
追加された 著者 Jay Cincotta,
BIOSパスワードは一種のマルウェアから保護します。 CDROMまたはメモリースティックを起動することによって、コンピュータに物理的にアクセスできる人がインストールするソート。 (CDROMやUSBから起動されたネットワークスニファもマルウェアと見なすかもしれません…確かに敵対的!
追加された 著者 daniels,

5 答え

絶対違う。 BIOSパスワードは、システムの起動時または起動中に手動で設定を変更したときに表示される認証メカニズムです。 BIOSを上書きするマルウェアは、通常、SPI(BIOSが常駐するインターフェース)を上書きすることによってそれを行います。マルウェアがSPIへの書き込みに十分な特権を取得していて、BIOSが実行時にこのインタフェースへのアクセスを拒否する適切なロックビットを設定していない場合、それはゲームオーバーです。あなたのBIOSフラッシュチップの内容は、パスワード認証コードを実行する内容を含めて完全に変更することができます。

マルウェアがBIOSを上書きできないようにする唯一の方法は、起動時にすべてのロックビットを正しく設定するBIOSを使用することです。そのための唯一の方法は、 chipsec フレームワークを使用することです。その結果、または BootGuard をサポートするシステムを使用することができます。ロードする前にBIOS自体を検証し、OEM署名キーで署名されたBIOSからしか起動できないようにするためのチップセット。これは悪意のあるBIOS(そしてサードパーティ、CorebootやLibrebootのようなオープンソースのBIOSなど)の実行を防ぎます。

59
追加された
例えばROM BIOSを使うことができます。
追加された 著者 Albert,
@ bright-star:おそらくBootGuardを無効にしたシステムを使用する(そしてウイルスに感染させないようにすることを望みます...)か、 UEFIシム
追加された 著者 Aleksandar Marinkovic,
自己暗号化ドライブでPBA(起動前認証)イメージを使用することは、BIOSパスワードよりもはるかに優れた解決策です。 PBAイメージはBIOSの後 起動されるので、悪意のあるBIOSの影響を無効にするでしょうか
追加された 著者 joukokar,
@anon TPMを使用して、測定された起動を提供できます。これにより、改ざん証拠、またはすべてのシステムのファームウェアと構成を確認できます。
追加された 著者 forest,
chipsec唯一の方法であることは間違いありません。また、UEFI/BIOSはSPI上には存在しません、SPIは単にフラッシュメモリアクセス用の一般的なインタフェースです。そしてSPIは単一のインスタンスではありません、現代のPCは通常ユーザーによってアクセス可能なものを含むいくつかのSPIインターフェースを持っています(例えばSDカードリーダー)。
追加された 著者 Jeffrey Berthiaume,
それでは、オープンソースBIOSの計画は何ですか?
追加された 著者 SK19,
「OEM署名鍵で署名されたBIOSからしか起動できないことを保証する」 - OEMの秘密鍵が漏えいし、チップセットの検証コードがファームウェアに焼き付けられてしまうまで、コンピュータを信頼できない再び。
追加された 著者 bonbon.langes,
検証コードはチップセットにあり、署名鍵の公開鍵はPCHに焼き付けられています。しかし、あなたは正しい、それが漏洩したり盗まれたりする可能性があるので、BootGuardは絶対に銀の弾丸ではない。
追加された 著者 guest,
いいえ。悪意のあるBIOSは、起動前認証でシステムを危険にさらす可能性があります。それがしなければならないのは「悪いもの」(tm)をするコードを実行し続けて、あなたがパスワードを入れるまで待つことです。これを実行すると、システムに関する限り、すべてのデータは暗号化されません。
追加された 著者 batmat,

BIOSのパスワードはウイルスに対する保護を全く提供しません。あなたの許可なしにあなたのコンピュータを使用しようとしている人を遅くするためにそこにちょうどそこにあります。ほとんどのコンピュータはどこかに "bios password ignore"または "bios password reset"ジャンパを持っているのでそれほど安全ではありません。誰かが5分くらい遅くなるかもしれません。

包括的な推奨事項は、良いアンチウイルスプログラムを入手して、バックグラウンドであなたのCPUを独占させることです。それは私がしていることではありません。ウイルス対策プログラムの問題は、データベースに存在しないウイルスには一般的には役に立たないことです。同様に、新しいウイルスが発生したときには、ウイルス対策担当者がデータベースを更新できるようになるまで、通常数千人が感染します。それから私がウイルスの変異を始めないようにしてください。

ウイルスがコンピュータに感染するのを非常に困難にするための最も簡単なことは、管理者ではなく、限られた特権を持つユーザーを作成してそれを使用することです。このように、あなたがウイルスをロードすることにだまされたならば、それは本当の害をするのに十分なシステム特権を持っていません。実際にパスワードを要求するようなことを何もしていないときに、管理者パスワードを入力させないでください。

4
追加された
「たぶん5分だれかを遅らせるかもしれません。」それは誠実な人々を誠実に保つための鍵です。また、環境によっては、コンピュータを開くと(ロックでさらにロックされる可能性があります)、コンピュータを使用しているように見える人とは異なるレベルで注意を喚起することができます。
追加された 著者 Tom Jefferys,
ああ、重要なことはこれらの事件で保険が命じるものだけなのか?
追加された 著者 Tom Jefferys,
@rackandbonemanドアのすぐ隣に薄いガラスの板があるのに、人々が素敵な正面玄関の鍵に300ドル以上を使うと面白いと思います。
追加された 著者 Mathemats,
BIOSのパスワードはマルウェアから保護されています...問題のハードウェアに物理的にアクセスできる信頼できない従業員によってインストールされている可能性のある種類のCDまたはUSBスティックを起動してハードドライブを変更します。
追加された 著者 daniels,

短い答えはノーです。 BIOSにパスワードを設定すると、コンピュータを物理的なアクセスから保護できます( )。

マルウェア感染から保護するために、2つのことを提案します。

  1. アンチウイルスをインストールして最新の状態に保つ

  2. 毎日データをバックアップするためのバックアップソリューションを設定します(これにより、AVで防止できない感染が発生した場合にすばやく回復できます)

2
追加された

いいえ、BIOSパスワードはマルウェアからBIOSを保護しません。これらはBIOSへの不正な物理的アクセスを防ぐための認証メカニズムです。しかし、それらはその目的のためにもあまり安全ではありません。

BIOSがマルウェアに感染するのを防ぐための最も簡単な方法は、最新のアンチウイルスを使用することです。

より高価な他のオプションは、IntelのBootGuard機能のようなBIOSの完全性を検証することができるシステムを使用するか、またはより良いファームウェアセキュリティを提供するBIOSの代わりにUEFIファームウェアでシステムにアップグレードすることです。

You can read more about UEFI security vs BIOS security here: http://www.makeuseof.com/tag/what-is-uefi-and-how-does-it-keep-you-more-secure/

2
追加された
この答えは他の答えを繰り返すだけです。
追加された 著者 schroeder,

有効にすると、WindowsまたはDOSベースのBIOSアップデートツールを実行できない、または元に戻せない効果をもたらすことができるメカニズム(例:特定のプラットフォームのメインボードジャンパ、ジャンパ制御のDual Biosなど)が役に立ちます。 。他には何もしません。

0
追加された