我的问题基本上是这样的:人们对基于硬件的全盘加密有何经验,尤其是从安全审计的角度来看?
更多信息: 我特别关注的是希捷 Momentus FDE开车Wave 的大使馆套房 (如果您有使用其他自加密驱动器 (SED) 和/或软件套件的经验,也请发表意见。)
事实: 自加密驱动器(已配置)在关闭电源(计算机关机或休眠,或只是拔掉电源插头)时会自动锁定。访问驱动器上的任何数据都需要密码、令牌或其他任何东西,驱动器本身是加密的(通常是 AES-128)。然而,重新启动不会导致用户必须重新与驱动器进行身份验证。
Wave 给我的答复是,即使用户选择了待机模式,他们也会强制进入休眠模式(在装有 Windows 的戴尔系统上)。但我担心的是以下攻击场景:
- 机器处于开启状态*(例如,如果用户锁定屏幕并走开一会儿),然后
- 有人偷了笔记本电脑(开着),然后
- 使用启动盘或可启动 USB 驱动器重新启动机器。
提出一个问题:除了改变 BIOS 中的启动顺序和使用密码保护 BIOS 设置之外,还有其他方法可以减轻这种攻击途径吗?
* 我知道正在运行的操作系统还存在许多其他漏洞,例如通过网络对系统服务进行缓冲区溢出攻击,但我发现这种攻击途径比简单地使用启动盘(如上所述)的可能性更小,尤其是当自加密驱动器变得越来越普及时。
答案1
我们在笔记本电脑上使用了 bitlocker,因为我们无法从 Wave 那里得到这个问题的很好的答案,而且我们认为相同的场景可能与供应商无关。
答案2
您可以用密码保护 BIOS 设置并从启动顺序中移除 CD 驱动器和 USB 密钥。
这样,他们就必须关闭计算机来清除 BIOS 密码(主板上的跳针),这样他们就无法访问 HD。