Device Security Report
======================
Report details
Date generated: 2023-06-03 10:15:33
fwupd version: 1.8.12
System details
Hardware model: LENOVO 81DE
Processor: Intel(R) Core(TM) i3-7020U CPU @ 2.30GHz
OS: Ubuntu 23.04
Security level: HSI:0! (v1.8.12)
HSI-1 Tests
Intel Management Engine Version: ! Fail (Not Valid)
UEFI Platform Key: Pass (Valid)
TPM v2.0: Pass (Found)
Firmware BIOS Region: Pass (Locked)
Firmware Write Protection Lock: Pass (Enabled)
Platform Debugging: Pass (Not Enabled)
Intel Management Engine Manufacturing Mode: Pass (Locked)
UEFI Secure Boot: Pass (Enabled)
Firmware Write Protection: Pass (Not Enabled)
Intel Management Engine Override: Pass (Locked)
TPM Platform Configuration: Pass (Valid)
HSI-2 Tests
Intel BootGuard Fuse: Pass (Valid)
Intel BootGuard Verified Boot: ! Fail (Not Valid)
Intel BootGuard ACM Protected: ! Fail (Not Valid)
Intel BootGuard: Pass (Enabled)
IOMMU Protection: ! Fail (Not Found)
TPM Reconstruction: Pass (Valid)
Platform Debugging: Pass (Locked)
HSI-3 Tests
Suspend To RAM: ! Fail (Enabled)
Intel BootGuard Error Policy: ! Fail (Not Valid)
Pre-boot DMA Protection: ! Fail (Not Enabled)
Intel CET: ! Fail (Not Supported)
Suspend To Idle: ! Fail (Not Enabled)
HSI-4 Tests
Encrypted RAM: ! Fail (Not Supported)
Intel SMAP: Pass (Enabled)
Runtime Tests
Firmware Updater Verification: Pass (Not Tainted)
Linux Swap: ! Fail (Not Encrypted)
Linux Kernel Lockdown: Pass (Enabled)
Linux Kernel Verification: Pass (Not Tainted)
Host security events
For information on the contents of this report, see https://fwupd.github.io/hsi.html
答案1
这些是 UEFI/BIOS 报告的配置/设置,它们根据硬件支持而有所不同,并且在 Ubuntu 中无法对它们进行太多处理(除了更新 UEFI/BIOS 固件) ... 这些也是将在您的机器的扩展产品规格中列出的信息...操作系统类型对 UEFI/BIOS 如何报告这些信息影响很小,有时甚至没有影响。
该报告是该工具进行安全评估的结果fwupdmgr security
...它对机器进行分类(根据 UEFI/BIOS 如何报告其硬件/固件组件)并如验证主机固件安全性:
首先,必须为一些核心保护措施赋予相对重要性。
上述相对性会随着版本的变化而变化,因此安全等级可能会升级或降级。
然后必须进行评估以确定每个供应商如何符合该模型。
您看到的报告就是上述两个过程的结果。
并且应该在规定的上下文中进行解析/阅读:
例如,用户可能会说,对于家庭使用的任何硬件,最低安全级别 (
HSI:1
) 就足够了。对于工作笔记本电脑,公司 IT 部门可能会将型号选择限制为满足 级别HSI:2
或更高标准的任何型号。记者或安全研究人员只会购买 级别HSI:3
及以上的产品。
并且,作为一个非技术性的副作用:
事实是,它
HSI:4
要比一些无品牌的硬件更贵HSI:0
。
即使无品牌/未报告的硬件质量很高并且可能满足高安全要求。
但是,也存在条件和限制,如下所述:
为了获得信任,这些评级信息应该分布在一个集中的不可知数据库中,比如 LVFS。
并非所有供应商都支持左心室射血分数(Linux 供应商固件服务)并非所有支持该做法的人都会对其所有产品都这样做,而且并非所有支持该做法的产品都会及时这样做。
此外运行时行为在安全评估过程中也会被考虑。
话虽如此,回到你的问题:
安全检查失败。这样可以吗?
就运行时行为而言,唯一报告Fail
的是:
Linux Swap: ! Fail (Not Encrypted)
这实际上是基于交换是未加密的(这是大多数 Linux 机器的常态...我们只在可能高度脆弱的环境中加密交换,例如可能交换敏感数据的多用户机器)...因此,请自行决定是否可以加密您的交换。
至于安全级别,您需要首先确定要达到的安全级别,然后相应地阅读报告...例如,如果您的目标是HSI:1(临界状态)描述如下:
虽然是基本保护,但任何故障都会导致严重的安全影响。
此安全级别对应于安全专家认为必不可少的最基本的安全保护。此级别的任何故障都会对安全产生严重影响,并且可能被用于在没有物理访问的情况下破坏系统固件。
然后,查看相关部分(在下面HSI-1 Tests
) 显示,唯一报告的Fail
条目是:
Intel Management Engine Version: ! Fail (Not Valid)
原因似乎是主板/CPU 主芯片不受支持(考虑到你的规格,这不太可能)或过时的版本英特尔管理引擎这可能意味着安装的版本与 LVFS 上最近更新的版本不匹配,如Intel 管理引擎 (CSME) 版本无效可能是由于系统上的缓存 LVFS 数据导致的,可以通过强制刷新本地副本来解决:
fwupdmgr refresh --force
然后使用以下命令升级固件:
fwupdmgr update
除此之外,就安全排名而言,任何高于你的目标的安全级别的失败都应该是无关紧要的。
可能还值得注意的是,如果你禁用某些 UEFI/BIOS 功能,例如安全启动例如,安装一些所需的专有驱动程序,这两者都将被报告为,Fail
并会降低你的机器的安全等级……所以,即使从这个意义上讲,我猜有时候“成功不是建立在成功之上,而是建立在失败之上。”
然而,这些评级显然不是针对高级用户的,而是针对大多数基础级别用户,甚至是我们中的一些人(@Austin Hemmelgarn以及包括我在内的其他人)可能更愿意称之为信息性安全指南,而不是严格的排名系统……尽管如此,它仍然很有用,但人们应该记住这个安全排名系统的基础,这一点已在上文我引用的官方文件中明确说明,内容如下:
... 被安全专家视为必不可少。