BIOS heslo i při probuzení

[Jarine]

Je možné u notebooků nastavit, aby byl chráněn ověřením system/admin heslem nejen při startu, ale i při resume úsporáku i hibernace?

Konkrétně Dell Latitude E540.

[Reklama]

[MiliNess]

Tak teď nevím. Máš na mysli heslo, které nastavíš v BIOSu nebo standardní heslo do účtu ve Windows?

[Jarine]

nee, klidně tam může být linux.

[Oxxid]

Ve Windows to lze nastavit primo v možnostech napajeni, položka "požadovat po probouzení z režimu spánku heslo".

[petr22]

V BIOSu staci zadat heslo na pristup k disku a pak anstavit ze ho ma chtit pri zapnuti i pri restartu.

Ovsem pozor na to - jakmile to heslo zapomenes, mas problem.

[Oxxid]

@petr22: clearCMOS to smázne ne? Nebo se mylim?

[petr22]

Nesmazne, je to ulozene v disku. Stejne jako nesmazne heslo do BIOSu.

Smazat to umi bud specializovana firma nebo je mozne prepajet tu pamet z jine (shodne) desky z jineho disku.

[Jarine]

To vím. Nespletl jsi se - psal jsi restartu (ano, taková možnost v BIOSU je, aby nevyžadoval heslo, pokud je notebook restartován, ale pouze pokud je zapnut).

Jo a hesla si pamatuji. Spíš by mě zajímalo, jak funguje problematika user vs master hesla (teď na úrovni ata security, bez vazby na BIOS). Jestli když zamykým disk, tak mohu určit zda je heslo user master (což má následně vliv na to, zda master password lze použít pouze k security erase nebo i ke čtení) https://communities.intel.com/message/120238 . Jestli když disk uzamknu dejme tomu user heslem, tak jestli master heslo neexistuje, nebo je nějaké defaultní nebo co. VLastě k čemu by pak bylo master a user heslo, kdyby byla stejné. A jak tedy pomocí hdparm zamknu disk oběma hesly?


- kromě toho by mě zajímalo, jestli je disk zaheslován skutečně tím heslem, které zadám v biosu, nebo jesli je nějak transformováno (nějak jednoduše substitucí, nebo složitěji, kdy do toho vstupují i unikátní informace o číslu notebooku)

---
nevím, jestli vymazáí cmos není už starý trik a data jsou uložená jinde. Každopádně tím by disk zůstal stále zamčený. Otázka je právě co by se dalo dělat (jak jse závislé heslo disku na napsaném heslu)-
- je li to stejné heslo, pak se nic neděje
- je li to heslo třeba závislé na nějaké hodnotě salt vzniklé při zamykání disku a uložené v notebooku, pak je to problém a disk se nepodaří odemknout
- je li to hselo nějak vázané na id desky, pak se po smazání cmos nic neděje, ale bojím se, co když odejde notebook, tak se k datům disku nedostanu

Resp se chci zeptat na toto - vždy když zapínám PC, ukáže se This machine DL-243_4343 (nějaké číslo) is locked. Enter disc password. Znamená to konkrétně v případě toho modelu Dell E6540, že pokud si číslo opíšu, dokážu bez přítomnosti notebooku disk odemknout?


--- doplnění

specializovaná firma to umět nebude obejít u FDE disků, protože tam jsou defuaultně data na disku šifrovaná pomocí Media key(který nejde přečist normálně, jinak by to nemělo smysl). Pokud disk není zaheslovaný, media key je uložen nezašifrovaný. Pokud je disk zaheslován, media key se zahesluje pomocí encrypiton key (který je v podstatě to heslo). Takže to přečíst nepůjde (pokud tam není nějaký backdoor, což nejspíš bude, ne jen kvůli KGB, ale kvůli opravě)

[petr22]

Kdyz zadas heslo v BIOSU (master i user), tak disk muzes prendat do libovolneho pocitace, pro pristup bude vzdy nutne zadat to heslo.

Jestli lze datat oboje nebo pouze user password zalezi na konkretnim zarizeni.

FDE je sifrovani, tohle je pouze uzamceni komunikace s diskem, kdy disk reaguje na ATA prikazy (krome tech na odemceni) pouze po zadani spravneho hesla. Kdyz takhle chraneny disk pripojis pres USB ramecek, tak se chova jako vadny - necitelne vsechny sektory.

[Jarine]

Ano, ale právě, nejsem si jistý, jestli je to TO isté heslo.

No a mě zajímá právě způsob, jak se zadává user heslo a master heslo (teď pomcocí programu hdparm, v žádném biosu)- možné je to triviální, stačí napsat 2x za sebou hdparm --security-set-pass poprvé s --user-master m a podruhé s --user-master m ,ale nejsem si jistý.

Ano FDE šifrování je šifrování, to vím, ale u disků s podporou FDE se právě toto chová stejně (že právě uzamčený disk nereaguje na ata příkazy do odemčení a data tam jsou zašifrovaná, ve smyslu, že media key je zašifrovaný.) . A já mám naštěstí asi chytrý rámeček, protože, když to něj dám zamčený disk, tak se chová podle očekávání a musím ho nejdřív odemknout pomocí hdparm- --security-unlock

[petr22]

Takto nam to zatim fungovalo s kazdym diskem - kdyz se odemkne (hdparm nebo jina aplikace) tak funguje.

Nedelame to ale pres hdparm, ale pres aplikaci od HP na nastavovani BIOSu nebo rucne.