BIOS/UEFI: Security/Password - Erklärungen zu Einstellungen?

C

cyberjonny

Active member
Registriert
22 Sep. 2007
Beiträge
9.670
Hi miteinander,

im BIOS/UEFI meines X230 (gilt aber vermutlich auch für viele anderen ThinkPads) finde ich unter dem Punkt Security/Password die folgenden Optionen:

  1. Hardware Password Manager [Enabled/Disabled]
    Hardware Password Manager enables the central management of hardware passwords. Select Enabled to enable your system to register to the server. Select Disabled to disable the ability for your system. If you are already registered and select Disabled, your system will be deregistered.
  2. Supervisor Password [Enter]
    - Password Status Enabled/Disabled
    Supervisor Password prevents unauthorized users from accessing these items in ThinkPad Setup: Boot priority lists, Network related items, Date & Time. To have a beep sound when the system is waiting for this password, enable the Password Beep feature in the Alarm submenu.
  3. Lock UEFI BIOS Settings [Enabled/Disabled]
    Enabling Lock UEFI BIOS Settings prevents users from making any changes in ThinkPad Setup without entering a Supervisor Password. UEFI BIOS Lock will not take effect unless Supervisor password is enabled.
  4. Password at unattended boot [Enabled/Disabled]
    [Enabled] The system to prompt for passwords when the system starts from full off state or hibernate by unattended events. [Disabled] Passwords are not prompted and continue to boot the OS. To protect unauthorized access to the system, recommend to set user authentication on the OS.
  5. Password at restart [Enabled/Disabled]
    [Enabled] The system to prompt for passwords when the system restarts. [Disabled] Passwords are not prompted and continue to boot the OS. To protect unauthorized access to the system, recommend to set user authentication on the OS.
  6. Set Minimum Length [x characters/Disabled]
    If a minimum is set, Power-On and Hard Disk password lengths must be equal to or longer than that number. Otherwise, they can be 1 to 64 characters. Note: supervisor password must be disabled or you must log in as supervisor to change an already-set minimum value.
  7. Power-On Password [Enter]
    - Password Status Enabled/Disabled
    Power-On Password prevents unauthorized users from booting your computer. Older operating systems also require the password when resuming. To have a beep sound when the system is waiting for this password, enable the Password Beep feature in the Alarm submenu.
  8. Hard Disk1 Password [Enter]
    - Password Status Enabled/Disabled
    Hard Disk Password prevents unauthorized users from accessing the data on the hard disk. In addition to the user password, an optional Master password can be used to give access to an administrator. To have a beep sound when the system is waiting for this password, enable the Password Beep feature in the Alarm submenu.
Zum Vergrößern anklicken....

Das Meiste davon ist zwar selbsterklärend bzw. steht ja eine Erklärung dabei, aber ein paar Fragen hätte ich dennoch:

Bzgl. 1.: Was ist/macht der Hardware Password Manager genau? Er scheint ja nur im Zusammenspiel mit irgendeinem Server zu funktionieren? Ist der dann nur z.B. bei beruflicher Verwendung des Geräts mit der entsprechenden IT-Infrastruktur dahinter relevant? Fange ich als Privatperson damit irgendwas an?

Und dann noch allgemein im Hinblick auf die übrigen Punkte: Welche der Einstellungen machen bei einem komplettverschlüsselten System denn überhaupt Sinn?
4. bis 8. kann man sich vermutlich sparen bzw. werden vermutlich keine zusätzliche Sicherheit bringen (können) - oder?
Aber wie sieht es mit 2. und 3. aus, kann damit die Sicherheit eines komplettverschlüsselten Systems signifikant beeinträchtigt werden? Mal davon abgesehen, dass man z.B. einem Dieb seine Beute etwas "madig" machen bzw. verhindern kann, dass jemand mal eben an den BIOS/UEFI-Settings rumspielen kann, kann da doch eigentlich nichts weiter passieren - oder liege ich da falsch?

Welche Settings habt ihr wie gesetzt und warum?

Danke euch! :)
Gruß, Jonny
 
Zuletzt bearbeitet:
Hi, wäre ich Dieb deines X230 würde mich die HDD gar nicht interessieren, raus damit mit dem Hammer drauf und weg damit.

Ob das Ding nun ein SVP hat oder nicht, nun bei deinem X230 würde das max. 5Minunten dauern und das Ding wäre wieder frei, wohlgemerkt wäre ich der Dieb.

Ansonsten hat der normale Dieb schon echte Probleme das Ding so weiterzuverscherbeln, denn das wollen die ja, schnell und unkompliziert Geld machen.

Ich pers. halte von der ganzen Verschlüsselung nix, liegt wohl dadran das auf meinem X230 nichts wertvolles an Daten lagert und auch nicht lagern wird.

Nobby
 
Das 1. dient dazu, die ganzen Passwörter per Remote-Zugriff zu managen. In einer Geschäftsumgebung sicherlich interessant, als Privatkunde allerdings kaum...
 
"Vollverschlüsseltes System" und UEFI? Das ist wohl ein Witz.
 
@ Nobby: Dessen bin ich mir bewusst. Deshalb hoffe ich auch, dass mein Notebook nie von dir geklaut wird. ;) Aber im Allgemeinen ist ein SVP demnach trotzdem eine gute Idee...
@ b025: Danke, das dachte ich mir fast.
@ zwieblum: Nein, kein Witz. Wenn du eine bessere Idee mit einem halbwegs aktuellen Notebook hast, gerne her damit...


Password at unattended boot, Password at restart, Power-On Password und Hard Disk Password (also 3. bis 8.) kann ich mir aber sparen, wenn ich die HDD/SSD selbst vollverschlüssele - oder hätte ich davon trotzdem einen Nutzen?
 
Das war ungenau ausgedrückt von meiner Seite: "komplettverschlüsseltes System" gab's unter BIOS nie. Unter UEFI wird dir zwar mit "secure boot" verkauft, funktioniert trotzdem nicht (und ht mehr "Lücken"). Wenn du eine Sicherung gegen Datenklau im Falle des Notebookklaus suchst, dann nimm Punkt 8. Bei "lawfull inspection" ist so ziemlich alles sinnlos, weil dich Intel (und AMD und M$) bereits verraten hat bzw. ein 5€ Schraubenzieher jedes Passwort knackt (nicht am Gerät, sondern am User).
 
Mit "komplettverschlüsselt" meine ich, dass ich die HDD/SSD mit VeraCrypt (Windows) bzw. dm-crypt/LUKS (Linux) verschlüssele, also unabhängig von BIOS/UEFI. Sorry, da habe ich mich vielleicht nicht präzise genug ausgedrückt. Und die Frage ist jetzt eben, ob die Punkte 3. bis 8. (also v.a. Power-On Password und Hard Disk Password) in diesem Fall überhaupt noch einen Nutzen bringen bzw. zusätzliche Sicherheit bieten...
 
Deine Annahme ist nicht richtig: HDD/SSD mit VeraCrypt (Windows) bzw. dm-crypt/LUKS (Linux) bieten dir bestenfalls die selbe Sicherheit wie ein HD Password & Power-on Password ... ausser du hast es mit Dumpfbacken zu tun oder dein Datenträger ist 99% der Zeit nicht in Nähe deines Computers.
 
Wenn dein Computer läuft, du eingeloggt bist und der verschlüsselten Datenträger gemountet ist, dann hat jeder mit Zugriff auf den Rechner Zugriff auf die Daten - auch Intel ME, M$ etc. sowie alle Programme mit ausreichend Rechten, insbesondere nicht beendeter Prozesse aus den Kontext der Bootumgebung (UEFI, intird ...). Daher "schützt" dich das verschlüsseln nur vor physikalischem Diebstahl der Datenträger.
 
Das ist aber ja nichts Neues und auch völlig klar. Eine Verschlüsselung - ganz egal, ob via Power-On Password/Hard Disk Password (BIOS/UEFI) oder via VeraCrypt bzw. dm-crypt/LUKS - kann die Daten nur zuverlässig schützen, wenn der Rechner aus ist. Und sie kann die Daten auch nicht vor, wie du es nennst, "physischem Diebstahl" (physikalisch ist btw etwas anderes) schützen, sondern lediglich davor, dass auf sie nach einem "physischen Diebstahl" des Notebooks oder Datenträgers zugegriffen werden kann. Ein Backup brauche ich also (natürlich!) trotzdem. Diesbezüglich sehe ich aber keinerlei Vor- oder Nachteil für die eine oder die andere Option, denn das liegt einfach in der Natur der Sache.

Meine Frage nach einer Erklärung bezog sich vor allem darauf, warum der Schutz via Power-On Password/Hard Disk Password (BIOS/UEFI) besser sein sollte als via VeraCrypt bzw. dm-crypt/LUKS - denn das impliziert deine Aussage ("...bieten dir bestenfalls die selbe Sicherheit wie...").
 
Ah, ok. LUKS/VeraCrypt/etc. greifen erst, nachdem das System von eine unverschlüsselten Bootumgebung gebootet hat. Ergo kann der Angreifer den unverschlüsselte Teil (z.B. initrd ...) ohne dein Wissen ändern und erhält (zeitversetzt) Zugriff auf deine verschlüsselten Daten - Howtos dazu finden sich im Netz. Ein HD-Password verhindern die Modifikation des unverschlüsselten Bereiches, ergo bietet es mehr Sicherheit. Wer den HD-Passwortschutz umgehen kann, für den sind LUKS/VeraCrypt auch kein Hindernis.
 
Kleine Zwischenfrage, ob ich da richtig liege...
Bei HD-Password über BIOS ist die HDD praktisch Schrott, läßt sich auch in fremden Rechner nicht umgehen.
Bei Verschlüsselung via Betriebssystem läßt sich die HDD insofern noch nutzen, daß sie an einem Fremdrechner formatiert werden kann und danach genutzt werden kann.
Soweit richtig?
 
Genau. Ausser die Firmware der HD hat einen "unbekannten" Bug ...
 
Wenn das Passwort z.B. als MD5 im EEPROM/Flash/... hinterlegt ist, und das per JTAG auslesbar ist :)
 
Andererseits muss man bei proprietären Lösungen eben immer auch dem Hersteller vertrauen.


Was ist denn eigentlich genau der Unterschied zwischen Power-On Password und Hard Disk Password? Was tut das eine, was das andere? Was passiert, wenn ich nur das eine oder andere setze?

Funktioniert das Hard Disk Password eigentlich nur, wenn ein SED als Datenträger genutzt wird? Oder wie funktioniert es sonst?
 
Ich meine, Power-On Password heißt, dass man bei jedem Start des Laptops ein PW eingeben muss, also schon vor dem Bootloader, das jedoch unabhängig von einem Hard Disk-Passwort. Also PW bei jedem Hochfahren nötig, Harddisk bei Ausbau/Klau jedoch nicht gesichert (zumindest nicht mit HD-Passwort aus BIOS).

Lock UEFI BIOS Settings soll wohl Veränderungen der UEFI-Einstellungen z.B. aus dem laufenden OS heraus oder gar einer Installation heraus verhindern. Ich z.B. hatte es in meinem paranoiden Sicherheitswahn gesetzt und nach der Linux-Installation (neben Windows) stundenlang gewundert, warum der GRUB-Loader nicht als Bootoption erschien! :D Irgendwann drauf gekommen, die Option im BIOS abgewählt, GRUB neu installiert und dann ging es.

Btw: Das mit dem Hard Disk-Passwort war mir auch immer nicht ganz klar: Bedeutet das tatsächlich eine Verschlüsselung der gesamten Festplatte? Und wenn ja, welches Verfahren wird da eingesetzt? Funktioniert das (optional oder gar ausschließlich) mittels TPM-Chip? Bei mir war beispielsweise der TPM anfangs als inaktiv markiert, habe ihn nicht manuell aktiviert, war aber dann aktiv. Ist das durch setzten des Supervisor-Passwords und Setzen einiger PW-Optionen passiert?
 
Hard Disk-Passwort (im BIOS gesetzt) verschlüsselt gar nix. Das sperrt "nur" den Zugriff auf die HDD. Auch in jedem anderen Computer/Laptop.

Verschlüsselung über Betriebssystem verschlüsselt dann tatsächlich alle Dateien. An Fremdrechner mit bekannten Passwort ist auch Zugriff möglich.

TPM spielt glaub nur im ersten Fall eine Rolle (Kontrolle HDD <-> Rechner).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben