WEBVTT 00:00.000 --> 00:01.560 Instructeur: In deze les gaan we 00:01.560 --> 00:02.730 enkele van de beveiligingsfuncties 00:02.730 --> 00:05.100 in het BIOS en het UEFI verkennen. 00:05.100 --> 00:07.200 Naast het bieden van bescherming op ons netwerk 00:07.200 --> 00:09.120 en in onze besturingssysteemomgeving, moeten 00:09.120 --> 00:10.740 we ook rekening houden met de beveiliging 00:10.740 --> 00:13.320 van onze preoperating systeemomgeving. 00:13.320 --> 00:14.520 Dit is het gebied van de computer 00:14.520 --> 00:16.560 dat kan worden aangevallen tijdens de opstartfase 00:16.560 --> 00:18.720 en daarom moet er rekening worden gehouden met de 00:18.720 --> 00:22.290 beveiliging van de bootloader, waaronder de BIOS- en UEFI-wachtwoorden, het beveiligde 00:22.290 --> 00:24.900 opstartproces en de instelling van machtigingen op de USB-poorten 00:24.900 --> 00:27.030 van je moederbord. 00:27.030 --> 00:29.700 Onthoud dat het BIOS en UEFI twee verschillende soorten 00:29.700 --> 00:32.430 firmware zijn die in onze computers worden gebruikt om ons 00:32.430 --> 00:35.730 te helpen bij het laden en opstarten van ons besturingssysteem. 00:35.730 --> 00:38.610 Elke computer kan een BIOS of UEFI hebben, 00:38.610 --> 00:39.870 maar niet beide. 00:39.870 --> 00:42.300 Het BIOS is het basis input/output systeem en het 00:42.300 --> 00:44.880 is een firmware interface die hardware initialiseert 00:44.880 --> 00:47.790 voor een besturingssysteem zodat het kan opstarten. 00:47.790 --> 00:49.980 De computers die op BIOS vertrouwen, gebruiken 00:49.980 --> 00:53.550 een master boot record, of MBR, om hun bootinformatie te bewaren en de partities 00:53.550 --> 00:56.070 van een bepaalde harde schijf te identificeren die het 00:56.070 --> 00:58.320 te laden besturingssysteem bevatten. 00:58.320 --> 01:01.980 Het BIOS is het oudere, oudere type firmware. 01:01.980 --> 01:04.560 UEFI, of het unified extensible firmware initiative, 01:04.560 --> 01:07.170 is een nieuwer type firmware. 01:07.170 --> 01:09.660 UEFI is een type systeemfirmware dat ondersteuning biedt voor 01:09.660 --> 01:12.690 64 bit CPU-bewerkingen tijdens het opstarten, een volledige grafische 01:12.690 --> 01:15.660 gebruikersinterface en muisbewerkingen tijdens het opstarten en een 01:15.660 --> 01:17.520 betere beveiliging bij het opstarten. 01:17.520 --> 01:19.920 Computers die vertrouwen op UEFI gebruiken een GUID-partitietabel 01:19.920 --> 01:24.120 die bekend staat als GPT om hun opstartinformatie in op te slaan. 01:24.120 --> 01:26.160 UEFI biedt de mogelijkheid om schijven van 01:26.160 --> 01:28.740 meer dan twee terabyte te benaderen en op te starten 01:28.740 --> 01:31.470 en biedt CPU-onafhankelijke architectuur en stuurprogramma's, 01:31.470 --> 01:33.960 evenals een pre-OS omgeving die netwerkmogelijkheden 01:33.960 --> 01:36.840 en toegang tot het web kan bevatten. 01:36.840 --> 01:39.900 Over het algemeen is UEFI nieuwer en geavanceerder dan BIOS en biedt 01:39.900 --> 01:42.150 het extra beveiligings- en integriteitscontroles 01:42.150 --> 01:45.540 tijdens het opstartproces, waaronder beveiligd opstarten. 01:45.540 --> 01:48.270 Nu kunnen het BIOS en UEFI ook worden beveiligd met een 01:48.270 --> 01:50.700 paar verschillende soorten wachtwoorden. 01:50.700 --> 01:52.740 Dit omvat het supervisor-, beheerders- 01:52.740 --> 01:56.010 of instellingswachtwoord, het gebruikers- of systeemwachtwoord 01:56.010 --> 01:58.470 en het opslag- of harde schijfwachtwoord. 01:58.470 --> 02:00.930 Het supervisor-, administrator- of setup-wachtwoord 02:00.930 --> 02:03.180 is het eerste type wachtwoord dat je tegenkomt 02:03.180 --> 02:05.400 als je het BIOS of UEFI gebruikt. 02:05.400 --> 02:07.470 Dit wachtwoord wordt gebruikt om de toegang tot het 02:07.470 --> 02:10.050 BIOS- of UEFI-configuratieprogramma te beschermen en voorkomt 02:10.050 --> 02:12.090 dat onbevoegde gebruikers toegang krijgen tot 02:12.090 --> 02:14.220 dit gevoelige configuratieprogramma. 02:14.220 --> 02:17.190 Als je dit wachtwoord instelt, zal telkens als iemand het 02:17.190 --> 02:19.890 BIOS of UEFI probeert te openen, het wachtwoord moeten 02:19.890 --> 02:22.170 worden ingevoerd voordat toegang wordt verleend, 02:22.170 --> 02:25.410 maar het zal niet voorkomen dat iemand de computer aanzet en opstart 02:25.410 --> 02:28.710 in de normale besturingssysteemomgeving. 02:28.710 --> 02:31.590 Dit wachtwoord wordt bijna altijd ingesteld op computers 02:31.590 --> 02:33.570 in een bedrijfsnetwerk, zodat eindgebruikers 02:33.570 --> 02:36.870 geen toegang hebben tot het BIOS of UEFI, maar systeembeheerders 02:36.870 --> 02:39.360 en technici wel als ze het juiste wachtwoord 02:39.360 --> 02:41.550 hebben. 02:41.550 --> 02:43.830 Het gebruikers- of systeemwachtwoord is het tweede 02:43.830 --> 02:47.430 type wachtwoord dat geconfigureerd kan worden in het BIOS of UEFI. 02:47.430 --> 02:51.270 Dit wachtwoord wordt gebruikt om de toegang tot de hele computer te vergrendelen. 02:51.270 --> 02:53.100 Wanneer de computer wordt aangezet, 02:53.100 --> 02:55.530 stopt hij en vraagt om een wachtwoord. 02:55.530 --> 02:58.380 Als de eindgebruiker het juiste wachtwoord invoert, zal de computer 02:58.380 --> 03:01.320 doorgaan met het laden van het besturingssysteem en opstarten. 03:01.320 --> 03:04.170 Hoewel dit een zeer veilige methode is om een 03:04.170 --> 03:07.380 computer te beveiligen, wordt het bijna nooit gebruikt 03:07.380 --> 03:09.300 in bedrijfsnetwerken, omdat 03:09.300 --> 03:12.120 dit wachtwoord dan gedeeld moet worden met alle 03:12.120 --> 03:16.170 gebruikers die toegang hebben tot die computer. 03:16.170 --> 03:19.290 In plaats daarvan wordt een gebruikers- of systeemwachtwoord 03:19.290 --> 03:21.090 meestal alleen gebruikt op iemands 03:21.090 --> 03:23.160 computer als hij de enige gebruiker is. 03:23.160 --> 03:25.200 Dit is een apart en ander wachtwoord dan het 03:25.200 --> 03:27.000 gebruikerswachtwoord dat zal worden 03:27.000 --> 03:30.570 gebruikt om toegang te krijgen tot Windows, Linux of het MacOS-systeem, 03:30.570 --> 03:33.000 en geeft de gebruiker in plaats daarvan toegang tot 03:33.000 --> 03:35.820 het systeem in die pre-operating systeemomgeving. 03:35.820 --> 03:38.130 Het derde type wachtwoord staat bekend als een wachtwoord 03:38.130 --> 03:40.050 voor opslag of harde schijf. 03:40.050 --> 03:42.240 Dit type wachtwoord was erg populair voordat 03:42.240 --> 03:45.000 de vertrouwde platformmodule of hardwarebeveiligingsmodule 03:45.000 --> 03:48.180 in moderne computers werd opgenomen. 03:48.180 --> 03:50.550 Dit wachtwoord vergrendelt de toegang tot een harde schijf 03:50.550 --> 03:53.280 die is aangesloten op een systeem en vereist dat de eindgebruiker 03:53.280 --> 03:55.680 het wachtwoord invoert voordat de harde schijf kan worden 03:55.680 --> 03:58.530 gelezen en het besturingssysteem kan worden geladen. 03:58.530 --> 04:01.290 In tegenstelling tot een gebruikers- of systeemwachtwoord dat de gebruiker 04:01.290 --> 04:03.420 uitsluit van het hele systeem totdat het juiste wachtwoord 04:03.420 --> 04:05.820 is ingevoerd, zal het opslag- of harde-schijfwachtwoord de gebruiker 04:05.820 --> 04:07.710 alleen uitsluiten van de harde schijf en de mogelijkheid 04:07.710 --> 04:10.769 om dat besturingssysteem ervan op te starten. 04:10.769 --> 04:12.840 De volgende beveiligingsfunctie die we moeten behandelen 04:12.840 --> 04:14.550 staat bekend als secure boot. 04:14.550 --> 04:17.130 Secure boot kan ingeschakeld worden in de UEFI interface 04:17.130 --> 04:20.370 en instellingen en wordt niet ondersteund door BIOS. 04:20.370 --> 04:23.310 Als het is ingeschakeld, voert het drie verschillende controles 04:23.310 --> 04:25.620 uit tijdens het opstartproces voor Windows of andere 04:25.620 --> 04:28.680 besturingssystemen die deze mogelijkheid ondersteunen om ervoor 04:28.680 --> 04:31.350 te zorgen dat de computer niet is gekaapt door een kwaadaardige 04:31.350 --> 04:34.590 code die in het besturingssysteem is geïnjecteerd. 04:34.590 --> 04:36.630 Laten we eens kijken naar het volledige opstartproces 04:36.630 --> 04:38.550 op een normaal Windows-systeem. 04:38.550 --> 04:41.100 De eerste stap van het proces vindt plaats wanneer een Windows 04:41.100 --> 04:43.950 computer opstart, de firmware opstartcomponenten worden geladen 04:43.950 --> 04:45.870 en de bootmanager wordt gestart. 04:45.870 --> 04:48.120 Vervolgens begint de Windows loader, wordt 04:48.120 --> 04:49.830 de Windows kernel gestart en worden 04:49.830 --> 04:53.130 de kritieke stuurprogramma's geïnstalleerd. 04:53.130 --> 04:55.710 Nu worden eventuele extra besturingssysteeminitialisaties 04:55.710 --> 04:58.320 uitgevoerd en uiteindelijk krijgt de gebruiker het aanmeldscherm 04:58.320 --> 05:00.420 van Windows te zien. 05:00.420 --> 05:02.610 Wanneer de firmware opstartcomponenten worden 05:02.610 --> 05:05.430 geladen tijdens een beveiligde opstart, gaat de firmware 05:05.430 --> 05:09.030 eerst controleren of alle UV uitvoerbare bestanden en de OS loader zelf 05:09.030 --> 05:11.130 hun integriteit intact hebben en niet zijn 05:11.130 --> 05:13.320 gecompromitteerd door malware. 05:13.320 --> 05:15.810 Dit betekent dat ze veilig geladen kunnen worden. 05:15.810 --> 05:18.300 Vervolgens gaan de opstartonderdelen van Windows de digitale 05:18.300 --> 05:20.370 handtekening van elk onderdeel controleren voordat 05:20.370 --> 05:21.750 ze worden geladen. 05:21.750 --> 05:23.910 Als een onderdeel niet slaagt voor deze handtekeningcontrole, 05:23.910 --> 05:26.100 wordt het niet geladen en wordt er een waarschuwing gegeven 05:26.100 --> 05:27.450 aan de eindgebruiker. 05:27.450 --> 05:30.060 Tenslotte worden de kritieke opstartstuurprogramma's gecontroleerd 05:30.060 --> 05:32.490 met hun bekende goede hashes en als ze deze controle doorstaan, 05:32.490 --> 05:35.160 worden ze geladen als laatste onderdeel van het beveiligde 05:35.160 --> 05:37.110 opstartproces. 05:37.110 --> 05:39.780 Nu, als het gaat om veilig opstarten, wil ik dat je onthoudt dat 05:39.780 --> 05:42.210 dit een procedure is die gebruikt gaat worden om ervoor 05:42.210 --> 05:45.060 te zorgen dat ons besturingssysteem zelf te vertrouwen is en niet 05:45.060 --> 05:47.820 het slachtoffer is geworden van een speciaal type malware dat 05:47.820 --> 05:49.410 bekend staat als een root kit. 05:49.410 --> 05:51.690 Om secure boot te laten werken, moet het ingeschakeld 05:51.690 --> 05:54.750 zijn in je UEFI systeem en je besturingssysteem moet het 05:54.750 --> 05:56.670 ook ondersteunen. 05:56.670 --> 05:59.070 De laatste beveiligingsfunctie die we moeten behandelen 05:59.070 --> 06:01.950 in het BIOS of UEFI is het instellen van permissies voor je USB-poorten 06:01.950 --> 06:03.300 op je moederbord. 06:03.300 --> 06:06.090 Nu kunnen de meeste moderne systemen worden geconfigureerd 06:06.090 --> 06:08.700 om de USB-poorten op je moederbord in of uit te schakelen, 06:08.700 --> 06:11.700 en bij sommige kun je zelfs de USB-poorten beperken zodat ze bepaalde 06:11.700 --> 06:13.380 typen USB-apparaten niet ondersteunen, 06:13.380 --> 06:16.590 terwijl andere wel kunnen worden gebruikt. 06:16.590 --> 06:18.660 De grote zorg hier is normaal gesproken 06:18.660 --> 06:20.940 malware en gegevensverlies. 06:20.940 --> 06:24.120 Op het gebied van malware kunnen USB-poorten een geweldige aanvalsroute 06:24.120 --> 06:25.560 zijn voor iemand die probeert 06:25.560 --> 06:27.270 in te breken in je systeem. 06:27.270 --> 06:29.700 Als ik bijvoorbeeld een USB-stick met malware oplaad, 06:29.700 --> 06:32.370 kan ik deze op een parkeerplaats buiten een kantoorgebouw 06:32.370 --> 06:34.950 neerzetten en als iemand nieuwsgierig is en de USB-stick 06:34.950 --> 06:37.050 oppakt en in zijn machine steekt, kan er malware 06:37.050 --> 06:39.900 op je systemen worden geïnstalleerd. 06:39.900 --> 06:42.810 We willen dit dus voorkomen door het vermogen van USB om te lezen 06:42.810 --> 06:46.320 en te schrijven van apparaten voor massaopslag uit te schakelen. 06:46.320 --> 06:49.110 Je kunt dit doen door USB helemaal te blokkeren, maar dan 06:49.110 --> 06:51.630 zou je dingen als koptelefoons en webcams, muizen 06:51.630 --> 06:55.050 en toetsenborden en dat soort dingen niet kunnen gebruiken. 06:55.050 --> 06:58.020 In plaats daarvan willen we misschien alleen de mogelijkheid 06:58.020 --> 07:01.020 beperken om ze te gebruiken als apparaten voor massaopslag, en 07:01.020 --> 07:03.630 dit zou voorkomen dat USB-sticks, flashdrives of externe 07:03.630 --> 07:06.870 harde schijven op het systeem kunnen worden aangesloten. 07:06.870 --> 07:08.250 Dit kan ons helpen om te voorkomen 07:08.250 --> 07:10.110 dat malware ons systeem binnendringt. 07:10.110 --> 07:13.020 Maar daarnaast kan het ons ook helpen voorkomen dat gegevens 07:13.020 --> 07:14.880 uit ons systeem verdwijnen. 07:14.880 --> 07:17.280 Stel bijvoorbeeld dat je voor een topgeheime organisatie 07:17.280 --> 07:19.110 binnen de overheid werkt. 07:19.110 --> 07:20.760 Je zou niet willen dat iemand met een 07:20.760 --> 07:23.700 klein USB-stickje naar binnen kan lopen, het in de computer kan steken, 07:23.700 --> 07:25.560 al je informatie kan downloaden en er vervolgens 07:25.560 --> 07:27.540 mee naar buiten kan lopen. 07:27.540 --> 07:30.960 Dus om dit te voorkomen kun je je UEFI configureren om die USB poorten 07:30.960 --> 07:34.560 te blokkeren of om te voorkomen dat ze worden gebruikt voor massaopslagapparaten, 07:34.560 --> 07:37.830 en nogmaals, het blokkeren van de mogelijkheid om thumb drives 07:37.830 --> 07:40.650 en externe harde schijven te gebruiken, waardoor mensen 07:40.650 --> 07:42.540 niet de voordeur uit kunnen lopen met 07:42.540 --> 07:45.120 je kritieke informatie. 07:45.120 --> 07:48.180 Dus onthoud, als het op beveiliging aankomt, zijn er drie 07:48.180 --> 07:51.270 belangrijke dingen die je BIOS of UEFI je kan bieden. 07:51.270 --> 07:54.060 De eerste is de mogelijkheid om wachtwoorden in te stellen om verschillende 07:54.060 --> 07:56.910 toegang tot verschillende delen van je systeem te regelen. 07:56.910 --> 07:59.280 De tweede is de mogelijkheid om veilig opstarten in te schakelen 07:59.280 --> 08:01.770 om er zeker van te zijn dat je besturingssysteem niet gecompromitteerd 08:01.770 --> 08:03.180 is voordat je het laadt. 08:03.180 --> 08:07.050 En ten derde is er de mogelijkheid om USB-poorten op je moederbord te beperken of 08:07.050 --> 08:08.850 uit te schakelen om te voorkomen dat malware 08:08.850 --> 08:10.380 het systeem binnendringt of dat 08:10.380 --> 08:13.083 gegevens van je systeem worden verwijderd.