我的問題基本上是這樣的:人們對基於硬體的全盤加密的經驗是什麼,特別是從安全審計的角度來看?
更多資訊: 我專門看的是希捷 Momentus FDE駕駛與Wave 大使館套房 (如果您有使用其他自加密磁碟機 (SED) 和/或軟體套件的經驗,也請提出意見。)
事實: 自加密磁碟機(已設定)在斷電(電腦關閉或休眠,或只是拔掉插頭)時將自動鎖定。存取磁碟機上的任何資料所需的密碼、令牌或任何內容,其本身已加密(通常為 AES-128)。然而,一個重新啟動不會導致使用者必須使用磁碟機重新進行身份驗證。
我從 Wave 得到的答覆是,即使使用者選擇了待機模式,它們也會強制進入休眠模式(在有 Windows 的戴爾系統上)。但我擔心的是以下攻擊場景:
- 機器已開啟*(就像使用者鎖定螢幕並暫時離開一樣),然後
- 有人偷了筆記型電腦(保持開啟狀態),然後
- 使用啟動磁碟或可啟動 USB 記憶棒重新啟動電腦。
求問:除了更改 BIOS 中的啟動順序和使用密碼保護 BIOS 設定之外,還有其他方法可以減輕這種攻擊嗎?
* 我了解正在運行的作業系統上存在許多其他漏洞,例如透過網路對系統服務進行緩衝區溢位攻擊,但我發現這種攻擊途徑比簡單地使用啟動磁碟(如上所述)的可能性要小,尤其是自加密磁碟機變得更加普遍。
答案1
我們為筆記型電腦選擇了 Bitlocker,因為我們無法從 Wave 那裡得到這個問題的良好答案,並且我們認為相同的場景可能不是特定於供應商的。
答案2
您可以使用密碼保護 BIOS 設置,並從開機順序中刪除 CD 驅動器和 USB 隨身碟。
這樣他們就必須關閉電腦來清除BIOS密碼(跳主機板上的針腳),這樣他們就會被鎖在硬碟之外。