Как запретить загрузку с LiveCD?

Question

[Вася Пупкин]

Установка пароля на биос и отключение кнопки F11 (или F12) для выбора с чего грузится - не вариант, потому что можно вынуть батарейку, подождать и все - настройки в дефолте.
Как можно еще запретить загрузку с liveCD чтобы не смогли к примеру сбросить пароли админов локальный и т.д. Есть какая-то панацея?

Comments

[Keffer]

Информационная безопасность идет рука об руку с санкциями в отношении юзверей. В частности, полное ограничение физического доступа к железу.

[paran0id]

пересадить пользунов на тонкие клиенты

[Вася Пупкин]

paran0id, Руководителей с ноутами тоже?

[paran0id]

Вася Пупкин, руководитель с ноутом может хоть каждый вечер диск вытаскивать, клонировать и ломать.

[Akina]

Полное шифрование накопителя с использованием внешнего аппаратного ключа. При загрузке со стороннего носителя ничего извлечь, тем более поменять, не получится.

[Владислав Лысков]

Не понятно какую проблему вы пытаетесь решить, как допустим лайв сди поможет сбросить пароли админов, разве что локальных, но какой в этом толк

Answer 1

[Drno]

никак. есил человек имеет физический доступ до ПК - он найдет способ

разве что шифровать целиком диск, но это тоже имеет свои "побочные" моменты

Comments

[Вася Пупкин]

А что за побочки, можно пример?

[Drno]

Вася Пупкин, забыли пароль - данные утеряны. произошел сбой диска или программы шифрования - данные утеряны, итд

Answer 2

[rPman]

Серверные и не дешевые десктопные материнки имеют функционал установки и удаления ключей подписи загрузчика (secure boot), чтобы произвести загрузку в этом режиме, код загрузчика должен быть подписан ключем, указанным как доверенный в биосе. По умолчанию там прописаны ключи, которым подписаны загрузчики всех популярных ОС (windows/linux/...), если добавить свой ключ и удалить общий ключ, то загружаться такая машина будет только операционную систему, загрузчик которой подписан твоим ключом.

Кстати относительно недавно публичный ключ менялся и в современную материнку не получится загрузиться с очень старой версией windows/linux в режиме efi (только legacy mbr при котором защита отключена)

Сбросить это батарейкой не получится (как я понимаю можно выпаять чип и впаять свой, но там тоже есть подводные камни). Кстати это намек, что ошибка в настройке secure boot может окирпичить материнскую память (т.е. либо выбрасывать либо дорого чинить).

p.s. в любом случае наличие бесконтрольного доступа к железу злоумышленника это дыра в безопасности, например он может установить в клавиатуру/кабель жучок, записывающий все нажимаемые кнопки (так можно к примеру украсть пароль шифрования диска).

на все есть свои методы защиты, и соответственно на каждую свой тип атаки... борьба вечная и очень дорогая.

Answer 3

[CityCat4]

Убрать приводы советовать не буду :) - их и так ни у кого уже нет. Можно заблокировать USB-порты. Причем не программными какими-то там блокировщиками - а тупо - заклеить бумажкой с печатью. Да, от вставки не защитит. Но сразу, как только "дефлорация" будет замечена - ответственный юзер получает люлей (даже если это и не он был).

Как всегда комбинация административных и технических методов.

Answer 4

[Довольный Айтишникъ]

Если винда - используйте BitLocker для системного диска. При загрузке с любого иного носителя - до информации не добраться.

Comments

[Alexey Dmitriev]

В Linux есть LUKS, он тоже умеет расшифровку через TPM

Answer 5

[ValdikSS]

не вариант, потому что можно вынуть батарейку, подождать и все - настройки в дефолте.

Только в том случае, если у вас компьютеры 12+-летней давности. UEFI хранит настройки в энергонезависимой памяти, батарейка нужна только для RTC.

Достаточно отключить загрузку со съемных носителей и установить пароль для UEFI.

Comments

[Вася Пупкин]

Пароль для биоса знаю, как ставить, а вот загрузку со съемных не нашел как выключить. Как этот пункт будет называться не подскажите?

[ValdikSS]

Вася Пупкин, На разных платах он называется по-разному. Обычно просто достаточно убрать USB из списка boot device.

[Вася Пупкин]

ValdikSS, Да, это сделано и пароль поставлен спасибо.

Answer 6

[pindschik]

Если есть физический доступ к материнской плате и к контактам CMOS RESET - то никак. Любые настройки будут скинуты. Битлокер откроют с LiveCD.
Проблему надо решать иначе. Например пломбировкой корпуса. Или варварски - вместо болтиков зафигачить заклепки, а контакты сброса - откусить и залить это место эпоксидкой, чтоб не дотянулись проволочкой... :)
Против сброса паролей админов помогает политика безопасности в домене. Например удалением (а не блокировкой) учеток локальных админов. Если все пользователи доменные - сбрасывать пароль просто не от чего.