Jump to content

Предзагрузочная аутентификация

Аутентификация перед загрузкой ( PBA ) или аутентификация при включении ( POA ) [1] служит расширением BIOS , UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. PBA предотвращает чтение чего-либо с жесткого диска, например операционной системы, до тех пор, пока пользователь не подтвердит, что у него правильный пароль или другие учетные данные, включая многофакторную аутентификацию . [2]

Использование предзагрузочной аутентификации

[ редактировать ]

Процесс аутентификации перед загрузкой

[ редактировать ]

Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. [2] PBA предотвращает загрузку любой операционной системы до тех пор, пока пользователь не подтвердит, что у него правильный пароль для разблокировки компьютера. [2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных или корпоративных данных. [2]

Общая последовательность загрузки

[ редактировать ]

в режиме БИОС:

  1. Базовая система ввода/вывода (BIOS)
  2. главной загрузочной записи (MBR) Таблица разделов
  3. Аутентификация перед загрузкой (PBA)
  4. Загрузка операционной системы (ОС)

в режиме UEFI:

  1. UEFI ( унифицированный расширяемый интерфейс прошивки )
  2. Таблица разделов GUID (GPT)
  3. Аутентификация перед загрузкой (PBA)
  4. Загрузка операционной системы (ОС)

Технологии предзагрузочной аутентификации

[ редактировать ]

Комбинации с полным шифрованием диска

[ редактировать ]

Аутентификация перед загрузкой может выполняться с помощью надстройки операционной системы, такой как Linux Initial ramdisk или загрузочное программное обеспечение Microsoft системного раздела (или загрузочного раздела), или с помощью различных поставщиков средств полного шифрования диска (FDE), которые можно установить отдельно. в операционную систему. Устаревшие системы FDE обычно полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими аппаратные двухфакторные системы, такие как чипы TPM или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачной аутентификации с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью зависит от аутентификации после загрузки, происходящей от аутентификации Active Directory на этапе GINA Windows. .

Проблемы безопасности

[ редактировать ]

Microsoft выпустила меры противодействия BitLocker [3] определение схем защиты для Windows. Для мобильных устройств, которые могут быть украдены и злоумышленники получают постоянный физический доступ (пункт «Квалифицированный злоумышленник и длительный физический доступ») Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Аутентификацию перед загрузкой можно выполнить с помощью TPM с защитой PIN-кода или любого стороннего поставщика FDA.

Наилучшая безопасность обеспечивается за счет выгрузки ключей криптографического шифрования из защищенного клиента и предоставления ключевого материала извне в процессе аутентификации пользователя. Этот метод исключает атаки на любой встроенный метод аутентификации, которые более слабы, чем атака методом перебора на симметричные ключи AES, используемые для полного шифрования диска.

Без криптографической защиты защищенной среды загрузки, поддерживаемой аппаратным обеспечением (TPM), PBA легко победить с помощью Evil Maid атак в стиле . Однако при использовании современного оборудования (включая TPM или криптографическую многофакторную аутентификацию) большинство решений FDE могут гарантировать, что удаление оборудования для атак методом перебора больше не возможно.

Методы аутентификации

[ редактировать ]

Для предзагрузочной аутентификации существует стандартный набор методов аутентификации, включающий:

  1. Что-то, что вы знаете (например, имя пользователя/пароль, например учетные данные Active Directory или PIN-код TPM)
  2. Что-то, что у вас есть (например, смарт-карта или другой токен)
  3. Что-то, чем вы являетесь (например, биометрические атрибуты, такие как отпечатки пальцев, распознавание лиц, сканирование радужной оболочки глаза)
  4. Автоматическая аутентификация в доверенных зонах (например, ключ загрузки, предоставляемый устройствам компании из корпоративной сети)
  1. ^ «Sophos обеспечивает шифрование корпоративного уровня на Mac» . Сетевой мир . 2 августа 2010 года. Архивировано из оригинала 12 октября 2012 года . Проверено 3 августа 2010 г.
  2. ^ Jump up to: а б с д и «Предзагрузочная аутентификация» . СЕКЬЮ . 21 февраля 2008 г. Архивировано из оригинала 4 марта 2012 г. Проверено 22 февраля 2008 г.
  3. ^ Дансимп. «Меры противодействия BitLocker (Windows 10) — безопасность Microsoft 365» . docs.microsoft.com . Проверено 30 января 2020 г.
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0699c67d4883a83f6f34c93804d3b1af__1638854940
URL1:https://arc.ask3.ru/arc/aa/06/af/0699c67d4883a83f6f34c93804d3b1af.html
Заголовок, (Title) документа по адресу, URL1:
Pre-boot authentication - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)