Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

Klientské produkty Dell – neautorizované nástroje na resetování hesel BIOS

Shrnutí: Klientské produkty Dell – neautorizované nástroje na resetování hesel BIOS

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Pokyny

Identifikátor DSA: DSA-2020-119: Klientské produkty Dell, neautorizované nástroje na resetování hesel BIOS, chyba zabezpečení

Podrobnosti: 

Vybrané komerční a spotřebitelské klientské platformy Dell podporují možnost resetování hesla, která má pomoci autorizovaným zákazníkům, kteří zapomenou heslo. Společnost Dell si je vědoma nástrojů na generování hesel na obnovení systému BIOS. Tyto nástroje, které nejsou autorizované společností Dell, mohou být využity fyzicky přítomným útočníkem k resetování hesel systému BIOS a hesel pevného disku spravovaných v systému BIOS. Neoprávněný útočník s fyzickým přístupem k systému by mohl zneužít této zranitelnosti a obejít bezpečnostní omezení konfigurace nastavení systému BIOS, přístup k HDD a ověření před spuštěním systému BIOS.

Řešení: 

Společnost Dell nastavila několik omezení a opatření pro zmírnění dopadu ohledně používání neoprávněně resetovaných hesel na komerčních platformách. Doporučujeme zákazníkům řídit se doporučenými postupy ohledně zabezpečení a zabránit neoprávněnému fyzickému přístupu k zařízením. Zákazníci také mohou v nastavení systému BIOS (dostupném na komerčních platformách – všechny platformy s verzí systému Insyde BIOS od března 2024 a všechny ostatní platformy od roku 2011) povolit funkci Master Password Lockout, která chrání hesla správce, systému a pevného disku před resetováním.

Další podrobnosti naleznete v bezpečnostním doporučení společnosti Dell: DSA-2020-119: Klientské produkty Dell, neautorizované nástroje na resetování hesel BIOS, chyba zabezpečení

Často kladené dotazy:    

Dotaz: Kterých modelů se tento problém týká?

Odpověď: Toto se týká většiny komerčních klientských systémů a vybraných spotřebitelských systémů Dell. Každá platforma s následujícími identifikátory u výzev k zadání hesla před spuštěním systému BIOS (Dell Security Manager)

  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-D35B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-1F5A
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-595B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-2A7B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-1D3B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-1F66
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-6FF1
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-BF97
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-E7A8

B: Platformy Insyde BIOS – Chcete-li zkontrolovat, zda je vaše platforma založena na systému Insyde BIOS:

  1. Zapněte počítač.
  2. Na obrazovce s logem Dell několikrát stiskněte klávesu F2 a přejděte do systému BIOS nebo nabídky System Setup.
  3. Případně několikrát stiskněte klávesu F12, dokud se nezobrazí jednorázová spouštěcí nabídka, a poté zvolte možnost BIOS Setup nebo System Setup.
  4. V platformě Insyde BIOS je v horní části stránky nastavení zobrazeno „InsydeH2O Setup Utility“.



Dotaz: Jak mohu ochránit svou platformu před neoprávněným resetováním hesla?

Odpověď: Existuje několik opatření na zmírnění rizika a doporučených postupů, kterými by se zákazníci v zájmu ochrany platforem měli řídit.

  • Master Password Lockout. Tato možnost může být aktivována v nastavení systému BIOS. Když je povolená, jsou hesla správce, systému a pevného disku chráněna před resetováním pomocí hesla pro obnovení. (K dispozici na komerčních platformách – všechny platformy s verzí systému Insyde BIOS od března 2024 a pro všechny ostatní platformy od roku 2011.)  
  • Uživatel musí být fyzicky přítomný u systému, aby mohl použít heslo pro obnovení. Proto je třeba dodržovat také fyzickou ochranu platformy.

Varování: Pokud je zvolena možnost Master Password Lockout a zákazník poté zapomene heslo, nebude společnost Dell moci asistovat s obnovením hesel. Platformu nebude možné obnovit a bude nutné vyměnit základní desku nebo pevný disk.

Dotaz: Může být tento nástroj využit k resetování hesel na dálku?

Odpověď: Ne, uživatel musí být fyzicky přítomný u systému, aby mohl použít heslo pro obnovení. Proto je třeba dodržovat také fyzickou ochranu platformy.

Dotaz: Jak zjistím, jestli byl na mé platformě použit tento nástroj?

Odpověď: Použití hesla pro obnovení je možné rozpoznat, protože vede k odebrání platných hesel systému BIOS (správce/systému nebo pevného disku spravovaného v systému BIOS).

Dotaz: Lze po použití hesla pro obnovení získat přístup k datům na mém pevném disku?

Odpověď: Při nastavení hesla pevného disku můžete nastavit, aby použití hesla na obnovení pevného disku vynutilo výmaz dat na něm. Pokud je tato možnost vybrána při nastavení hesla pevného disku, disk se po použití hesla na obnovení pevného disku vymaže.  Přístup k datům tak není možný. Pokud tato možnost není vybrána, je přístup k datům na pevném disku zachován. Pokud je ale použito šifrování HDD (například v nástroji BitLocker), jsou data dostupná, ale informace na disku jsou chráněny před odhalením.

Dotaz: Umožňuje použití hesla pro obnovení přístup k operačnímu systému?

Odpověď: Použití hesla pro obnovení neumožňuje obejít přihlašovací údaje do operačního systému.

Dotaz: Jsou dotčeny samošifrovací jednotky, které využívají externí aplikaci pro správu SED k nastavení hesel na disku?

Odpověď:  Tento nástroj nemá vliv na samošifrovací jednotky, které jsou zřízené a spravované pomocí externích aplikací pro správu SED. Nástroj na obnovení pracuje pouze s hesly systému BIOS spravovanými v nastavení systému BIOS.

Dotaz: Ohrožuje tento nástroj integritu firmwaru BIOS a důvěryhodné kořenové autority platformy?

Odpověď: Použití hesla pro obnovení nenarušuje integritu firmwaru BIOS. Firmware BIOS je chráněn ověřováním podpisu NIST 800-147 a dalšími funkcemi, např. Intel BootGuard, Intel BIOSGuard a ochranami proti zápisu do firmwaru čipové sady. Pomocí tohoto nástroje můžete získat přístup do rozhraní BIOS Setup, kde můžete změnit nastavení zabezpečení platformy, např. Secure Boot Enable a nastavení TPM.  

Další informace

Vlastnosti článku
Číslo článku: 000180749
Typ článku: How To
Poslední úprava: 02 Apr 2024
Verze:  4
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.