Предзагрузочная аутентификация - Pre-boot authentication

Предзагрузочная аутентификация (PBA) или же аутентификация при включении (Доверенность)[1] служит продолжением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду вне Операционная система как доверенный уровень аутентификации. PBA предотвращает чтение с жесткого диска чего-либо, например операционной системы, до тех пор, пока пользователь не подтвердит, что у него правильный пароль или другие учетные данные, включая многофакторная аутентификация.[2]

Использование предзагрузочной аутентификации

Процесс предзагрузочной аутентификации

Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от взлома среду, внешнюю по отношению к операционной системе, в качестве надежного уровня аутентификации.[2] PBA предотвращает загрузку Windows или любой другой операционной системы до тех пор, пока пользователь не подтвердит, что у него / нее есть правильный пароль для разблокировки компьютера.[2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных данных или данных компании.[2]

Общая последовательность загрузки

в режиме BIOS:

  1. Базовая система ввода вывода (BIOS)
  2. Главная загрузочная запись (MBR) таблица разделов
  3. Предзагрузочная аутентификация (PBA)
  4. Операционная система (ОС) загружается

в режиме UEFI:

  1. UEFI (Унифицированный расширяемый интерфейс встроенных микропрограмм )
  2. Таблица разделов GUID (GPT)
  3. Предзагрузочная аутентификация (PBA)
  4. Операционная система (ОС) загружается

Технологии предзагрузочной аутентификации

Комбинации с полным шифрованием диска

Предзагрузочная аутентификация может выполняться надстройкой операционной системы, такой как Linux. Начальный рамдиск или загрузочное программное обеспечение Microsoft системного раздела (или загрузочного раздела) или различными полное шифрование диска (FDE) поставщиков, которые могут быть установлены отдельно от операционной системы. Унаследованные системы FDE, как правило, полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими двухфакторные аппаратные системы, такие как TPM чипы или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачная аутентификация с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью полагается на аутентификацию после загрузки, исходящую от Active Directory аутентификация на Джина шаг винды.

Проблемы безопасности

Microsoft выпустила BitLocker Countermeasures[3] определение схем защиты для Windows. Для мобильных устройств, которые могут быть украдены, и злоумышленники получают постоянный физический доступ (пункт «Злоумышленник со знанием дела и длительный физический доступ») Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Предзагрузочная аутентификация может выполняться с помощью TPM с защитой PIN-кода или любого стороннего поставщика FDA.

Наилучшая безопасность обеспечивается за счет разгрузки ключей криптографического шифрования с защищенного клиента и передачи ключевого материала извне в процессе аутентификации пользователя. Этот метод устраняет атаки на любой встроенный метод проверки подлинности, который слабее, чем атака методом перебора симметричных ключей AES, используемых для полного шифрования диска.

Без криптографической защиты защищенной среды загрузки, поддерживаемой оборудованием (TPM), PBA легко победить с помощью Злая горничная стиль атак. Однако с современным оборудованием (включая TPM или криптографическая многофакторная аутентификация) большинство решений FDE могут гарантировать, что удаление оборудования для атак методом грубой силы больше невозможно.

Методы аутентификации

Стандартный набор методов аутентификации существует для предзагрузочной аутентификации, включая:

  1. Что-то, что вы знаете (например, имя пользователя / пароль, такие как учетные данные Active Directory или PIN-код TPM)
  2. То, что у вас есть (например, интеллектуальная карточка или другой токен)
  3. Что-то, что вы есть (например, биометрические атрибуты, такие как отпечаток пальца, распознавание лица, сканирование радужной оболочки глаза)
  4. Автоматическая аутентификация в доверенных зонах (например, загрузочный ключ, предоставляемый корпоративным устройствам корпоративной сетью)

Рекомендации

  1. ^ «Sophos обеспечивает шифрование корпоративного уровня на Mac». Сетевой мир. 2 августа 2010 г. Архивировано с оригинал 12 октября 2012 г.. Получено 2010-08-03.
  2. ^ а б c d е «Предзагрузочная аутентификация». ВТОРОЙ. 21 февраля 2008 г. Архивировано с оригинал на 2012-03-04. Получено 2008-02-22.
  3. ^ Dansimp. «Контрмеры BitLocker (Windows 10) - Безопасность Microsoft 365». docs.microsoft.com. Получено 2020-01-30.