安全检查失败。这样可以吗?

安全检查失败。这样可以吗?
Device Security Report
======================

Report details
  Date generated:                                  2023-06-03 10:15:33
  fwupd version:                                   1.8.12

System details
  Hardware model:                                  LENOVO 81DE
  Processor:                                       Intel(R) Core(TM) i3-7020U CPU @ 2.30GHz
  OS:                                              Ubuntu 23.04
  Security level:                                  HSI:0! (v1.8.12)

HSI-1 Tests
  Intel Management Engine Version:               ! Fail (Not Valid)
  UEFI Platform Key:                               Pass (Valid)
  TPM v2.0:                                        Pass (Found)
  Firmware BIOS Region:                            Pass (Locked)
  Firmware Write Protection Lock:                  Pass (Enabled)
  Platform Debugging:                              Pass (Not Enabled)
  Intel Management Engine Manufacturing Mode:      Pass (Locked)
  UEFI Secure Boot:                                Pass (Enabled)
  Firmware Write Protection:                       Pass (Not Enabled)
  Intel Management Engine Override:                Pass (Locked)
  TPM Platform Configuration:                      Pass (Valid)

HSI-2 Tests
  Intel BootGuard Fuse:                            Pass (Valid)
  Intel BootGuard Verified Boot:                 ! Fail (Not Valid)
  Intel BootGuard ACM Protected:                 ! Fail (Not Valid)
  Intel BootGuard:                                 Pass (Enabled)
  IOMMU Protection:                              ! Fail (Not Found)
  TPM Reconstruction:                              Pass (Valid)
  Platform Debugging:                              Pass (Locked)

HSI-3 Tests
  Suspend To RAM:                                ! Fail (Enabled)
  Intel BootGuard Error Policy:                  ! Fail (Not Valid)
  Pre-boot DMA Protection:                       ! Fail (Not Enabled)
  Intel CET:                                     ! Fail (Not Supported)
  Suspend To Idle:                               ! Fail (Not Enabled)

HSI-4 Tests
  Encrypted RAM:                                 ! Fail (Not Supported)
  Intel SMAP:                                      Pass (Enabled)

Runtime Tests
  Firmware Updater Verification:                   Pass (Not Tainted)
  Linux Swap:                                    ! Fail (Not Encrypted)
  Linux Kernel Lockdown:                           Pass (Enabled)
  Linux Kernel Verification:                       Pass (Not Tainted)

Host security events

For information on the contents of this report, see https://fwupd.github.io/hsi.html

答案1

这些是 UEFI/BIOS 报告的配置/设置,它们根据硬件支持而有所不同,并且在 Ubuntu 中无法对它们进行太多处理(除了更新 UEFI/BIOS 固件) ... 这些也是将在您的机器的扩展产品规格中列出的信息...操作系统类型对 UEFI/BIOS 如何报告这些信息影响很小,有时甚至没有影响。

该报告是该工具进行安全评估的结果fwupdmgr security...它对机器进行分类(根据 UEFI/BIOS 如何报告其硬件/固件组件)并如验证主机固件安全性

首先,必须为一些核心保护措施赋予相对重要性。

上述相对性会随着版本的变化而变化,因此安全等级可能会升级或降级。

然后必须进行评估以确定每个供应商如何符合该模型。

您看到的报告就是上述两个过程的结果。

并且应该在规定的上下文中进行解析/阅读:

例如,用户可能会说,对于家庭使用的任何硬件,最低安全级别 ( HSI:1) 就足够了。对于工作笔记本电脑,公司 IT 部门可能会将型号选择限制为满足 级别HSI:2或更高标准的任何型号。记者或安全研究人员只会购买 级别HSI:3及以上的产品。

并且,作为一个非技术性的副作用:

事实是,它HSI:4要比一些无品牌的硬件更贵HSI:0

即使无品牌/未报告的硬件质量很高并且可能满足高安全要求。

但是,也存在条件和限制,如下所述:

为了获得信任,这些评级信息应该分布在一个集中的不可知数据库中,比如 LVFS。

并非所有供应商都支持左心室射血分数(Linux 供应商固件服务并非所有支持该做法的人都会对其所有产品都这样做,而且并非所有支持该做法的产品都会及时这样做。

此外运行时行为在安全评估过程中也会被考虑。

话虽如此,回到你的问题:

安全检查失败。这样可以吗?

就运行时行为而言,唯一报告Fail的是:

Linux Swap:                                    ! Fail (Not Encrypted)

这实际上是基于交换是未加密的(这是大多数 Linux 机器的常态...我们只在可能高度脆弱的环境中加密交换,例如可能交换敏感数据的多用户机器)...因此,请自行决定是否可以加密您的交换。

至于安全级别,您需要首先确定要达到的安全级别,然后相应地阅读报告...例如,如果您的目标是HSI:1(临界状态)描述如下:

虽然是基本保护,但任何故障都会导致严重的安全影响。

此安全级别对应于安全专家认为必不可少的最基本的安全保护。此级别的任何故障都会对安全产生严重影响,并且可能被用于在没有物理访问的情况下破坏系统固件。

然后,查看相关部分(在下面HSI-1 Tests) 显示,唯一报告的Fail条目是:

Intel Management Engine Version:               ! Fail (Not Valid)   

原因似乎是主板/CPU 主芯片不受支持(考虑到你的规格,这不太可能)或过时的版本英特尔管理引擎这可能意味着安装的版本与 LVFS 上最近更新的版本不匹配,如Intel 管理引擎 (CSME) 版本无效可能是由于系统上的缓存 LVFS 数据导致的,可以通过强制刷新本地副本来解决:

fwupdmgr refresh --force

然后使用以下命令升级固件:

fwupdmgr update

除此之外,就安全排名而言,任何高于你的目标的安全级别的失败都应该是无关紧要的。

可能还值得注意的是,如果你禁用某些 UEFI/BIOS 功能,例如安全启动例如,安装一些所需的专有驱动程序,这两者都将被报告为,Fail并会降低你的机器的安全等级……所以,即使从这个意义上讲,我猜有时候“成功不是建立在成功之上,而是建立在失败之上。”

然而,这些评级显然不是针对高级用户的,而是针对大多数基础级别用户,甚至是我们中的一些人(@Austin Hemmelgarn以及包括我在内的其他人)可能更愿意称之为信息性安全指南,而不是严格的排名系统……尽管如此,它仍然很有用,但人们应该记住这个安全排名系统的基础,这一点已在上文我引用的官方文件中明确说明,内容如下:

... 被安全专家视为必不可少

相关内容