WEBVTT 00:00.000 --> 00:01.560 Instruktor: W tej lekcji zbadamy 00:01.560 --> 00:02.730 niektóre funkcje bezpieczeństwa 00:02.730 --> 00:05.100 w BIOS-ie i UEFI. 00:05.100 --> 00:07.200 Oprócz zapewnienia ochrony w naszej sieci i środowisku 00:07.200 --> 00:09.120 systemu operacyjnego, musimy również wziąć 00:09.120 --> 00:10.740 pod uwagę bezpieczeństwo naszego środowiska 00:10.740 --> 00:13.320 systemu przedoperacyjnego. 00:13.320 --> 00:14.520 Jest to obszar komputera, 00:14.520 --> 00:16.560 który może zostać zaatakowany podczas 00:16.560 --> 00:18.720 fazy rozruchu, dlatego należy wziąć pod 00:18.720 --> 00:22.290 uwagę zabezpieczenia bootloadera, w tym hasła BIOS i UEFI, bezpieczny 00:22.290 --> 00:24.900 proces rozruchu oraz ustawienie uprawnień na portach 00:24.900 --> 00:27.030 USB płyty głównej. 00:27.030 --> 00:29.700 Należy pamiętać, że BIOS i UEFI to dwa różne typy oprogramowania 00:29.700 --> 00:32.430 układowego, które są używane w naszych komputerach, aby pomóc 00:32.430 --> 00:35.730 nam podczas ładowania i uruchamiania naszego systemu operacyjnego. 00:35.730 --> 00:38.610 Każdy komputer może mieć zainstalowany BIOS lub 00:38.610 --> 00:39.870 UEFI, ale nie oba. 00:39.870 --> 00:42.300 BIOS to podstawowy system wejścia/wyjścia i jest to 00:42.300 --> 00:44.880 interfejs oprogramowania układowego, który inicjuje 00:44.880 --> 00:47.790 sprzęt dla systemu operacyjnego w celu jego uruchomienia. 00:47.790 --> 00:49.980 Komputery, które polegają na BIOS-ie, używają głównego 00:49.980 --> 00:53.550 rekordu rozruchowego (MBR) do przechowywania informacji rozruchowych i identyfikowania 00:53.550 --> 00:56.070 partycji danego dysku twardego, które zawierają system 00:56.070 --> 00:58.320 operacyjny do załadowania. 00:58.320 --> 01:01.980 BIOS to starszy, bardziej zaawansowany typ oprogramowania układowego. 01:01.980 --> 01:04.560 Z drugiej strony UEFI, czyli zunifikowana inicjatywa rozszerzalnego oprogramowania 01:04.560 --> 01:07.170 układowego, jest nowszym typem oprogramowania układowego. 01:07.170 --> 01:09.660 UEFI to rodzaj oprogramowania układowego systemu, który zapewnia 01:09.660 --> 01:12.690 obsługę 64-bitowych operacji procesora podczas rozruchu, pełny graficzny 01:12.690 --> 01:15.660 interfejs użytkownika i operacje myszy podczas rozruchu oraz lepsze 01:15.660 --> 01:17.520 bezpieczeństwo rozruchu. 01:17.520 --> 01:19.920 Komputery korzystające z UEFI będą używać tablicy 01:19.920 --> 01:24.120 partycji GUID znanej jako GPT do przechowywania informacji rozruchowych. 01:24.120 --> 01:26.160 UEFI zapewnia możliwość dostępu i uruchamiania 01:26.160 --> 01:28.740 systemu z dysków o rozmiarze ponad dwóch terabajtów i zapewnia 01:28.740 --> 01:31.470 architekturę i sterowniki niezależne od procesora, a także 01:31.470 --> 01:33.960 środowisko pre-OS, które może obejmować funkcje sieciowe 01:33.960 --> 01:36.840 i dostęp do przeglądania stron internetowych. 01:36.840 --> 01:39.900 Ogólnie rzecz biorąc, UEFI jest nowszy i bardziej zaawansowany niż 01:39.900 --> 01:42.150 BIOS i zapewnia dodatkowe zabezpieczenia i kontrole 01:42.150 --> 01:45.540 integralności podczas procesu rozruchu, w tym bezpieczny rozruch. 01:45.540 --> 01:48.270 Teraz BIOS i UEFI mogą być również chronione 01:48.270 --> 01:50.700 za pomocą kilku różnych typów haseł. 01:50.700 --> 01:52.740 Obejmuje to hasło nadzorcy, administratora 01:52.740 --> 01:56.010 lub konfiguracji, hasło użytkownika lub systemu oraz hasło 01:56.010 --> 01:58.470 pamięci masowej lub dysku twardego. 01:58.470 --> 02:00.930 Hasło nadzorcy, administratora lub konfiguracji 02:00.930 --> 02:03.180 to pierwszy typ hasła, które można znaleźć podczas 02:03.180 --> 02:05.400 korzystania z systemu BIOS lub UEFI. 02:05.400 --> 02:07.470 Hasło to służy do ochrony dostępu do programu 02:07.470 --> 02:10.050 konfiguracyjnego BIOS lub UEFI i uniemożliwia nieautoryzowanym 02:10.050 --> 02:12.090 użytkownikom dostęp do tego wrażliwego narzędzia 02:12.090 --> 02:14.220 konfiguracyjnego. 02:14.220 --> 02:17.190 Jeśli ustawisz to hasło, za każdym razem, gdy ktoś spróbuje 02:17.190 --> 02:19.890 wejść do BIOS-u lub UEFI, będzie to wymagało wprowadzenia 02:19.890 --> 02:22.170 hasła przed udzieleniem dostępu, ale nie 02:22.170 --> 02:25.410 uniemożliwi to włączenia komputera i uruchomienia normalnego 02:25.410 --> 02:28.710 środowiska systemu operacyjnego. 02:28.710 --> 02:31.590 Hasło to prawie zawsze będzie skonfigurowane na komputerach 02:31.590 --> 02:33.570 w sieci korporacyjnej lub korporacyjnej, 02:33.570 --> 02:36.870 aby użytkownicy końcowi nie mogli uzyskać dostępu do BIOS-u lub UEFI, 02:36.870 --> 02:39.360 ale administratorzy systemu i technicy mogą to zrobić, 02:39.360 --> 02:41.550 jeśli mają odpowiednie hasło. 02:41.550 --> 02:43.830 Hasło użytkownika lub hasło systemowe to drugi 02:43.830 --> 02:47.430 typ hasła, które można skonfigurować w systemie BIOS lub UEFI. 02:47.430 --> 02:51.270 Hasło to służy do blokowania dostępu do całego komputera. 02:51.270 --> 02:53.100 Za każdym razem, gdy komputer zostanie 02:53.100 --> 02:55.530 włączony, zatrzyma się i poprosi o hasło. 02:55.530 --> 02:58.380 Jeśli użytkownik końcowy wprowadzi prawidłowe hasło, komputer będzie 02:58.380 --> 03:01.320 kontynuował ładowanie systemu operacyjnego i uruchamianie. 03:01.320 --> 03:04.170 Chociaż jest to bardzo bezpieczna metoda ochrony komputera, prawie 03:04.170 --> 03:07.380 nigdy nie jest używana w sieciach korporacyjnych lub korporacyjnych, ponieważ 03:07.380 --> 03:09.300 hasło to musiałoby być udostępniane wszystkim 03:09.300 --> 03:12.120 użytkownikom, którzy uzyskują dostęp do tego komputera, a to wspólne 03:12.120 --> 03:16.170 hasło neguje część bezpieczeństwa, które próbujemy uzyskać. 03:16.170 --> 03:19.290 Zamiast tego, zwykle zobaczysz hasło użytkownika lub hasło systemowe 03:19.290 --> 03:21.090 używane tylko na czyimś komputerze, gdy 03:21.090 --> 03:23.160 jest on jedynym użytkownikiem. 03:23.160 --> 03:25.200 Jest to oddzielne i inne hasło niż hasło 03:25.200 --> 03:27.000 użytkownika, które będzie używane 03:27.000 --> 03:30.570 do uzyskania dostępu do systemu Windows, Linux lub MacOS, a zamiast 03:30.570 --> 03:33.000 tego zapewnia użytkownikowi dostęp do systemu 03:33.000 --> 03:35.820 w środowisku systemu przedoperacyjnego. 03:35.820 --> 03:38.130 Trzeci typ hasła jest znany jako hasło pamięci 03:38.130 --> 03:40.050 masowej lub dysku twardego. 03:40.050 --> 03:42.240 Ten typ hasła był bardzo popularny przed 03:42.240 --> 03:45.000 włączeniem modułu zaufanej platformy lub sprzętowego 03:45.000 --> 03:48.180 modułu bezpieczeństwa do nowoczesnych komputerów. 03:48.180 --> 03:50.550 Hasło to blokowałoby dostęp do dysku twardego 03:50.550 --> 03:53.280 podłączonego do systemu i wymagałoby od użytkownika 03:53.280 --> 03:55.680 końcowego wprowadzenia hasła w celu odczytania 03:55.680 --> 03:58.530 dysku twardego i załadowania systemu operacyjnego. 03:58.530 --> 04:01.290 W przeciwieństwie do hasła użytkownika lub hasła systemowego, które 04:01.290 --> 04:03.420 blokuje użytkownikowi dostęp do całego systemu do 04:03.420 --> 04:05.820 momentu wprowadzenia prawidłowego hasła, hasło pamięci 04:05.820 --> 04:07.710 masowej lub dysku twardego zablokuje tylko dysk 04:07.710 --> 04:10.769 twardy i możliwość uruchomienia z niego systemu operacyjnego. 04:10.769 --> 04:12.840 Kolejną funkcją bezpieczeństwa, którą musimy 04:12.840 --> 04:14.550 omówić, jest bezpieczny rozruch. 04:14.550 --> 04:17.130 Bezpieczny rozruch można włączyć w interfejsie 04:17.130 --> 04:20.370 i ustawieniach UEFI i nie jest on obsługiwany przez BIOS. 04:20.370 --> 04:23.310 Jeśli jest włączona, przeprowadzi trzy różne weryfikacje podczas 04:23.310 --> 04:25.620 procesu uruchamiania systemu Windows lub innych 04:25.620 --> 04:28.680 systemów operacyjnych, które obsługują tę funkcję, aby upewnić 04:28.680 --> 04:31.350 się, że komputer nie został przejęty przez jakiś rodzaj złośliwego 04:31.350 --> 04:34.590 kodu wstrzykniętego do systemu operacyjnego. 04:34.590 --> 04:36.630 Przyjrzyjmy się pełnemu procesowi uruchamiania 04:36.630 --> 04:38.550 w normalnym systemie Windows. 04:38.550 --> 04:41.100 Pierwszy etap procesu ma miejsce podczas uruchamiania komputera 04:41.100 --> 04:43.950 z systemem Windows, ładowane są składniki rozruchowe oprogramowania układowego 04:43.950 --> 04:45.870 i uruchamiany jest menedżer rozruchu. 04:45.870 --> 04:48.120 Następnie rozpocznie się ładowanie systemu Windows, 04:48.120 --> 04:49.830 uruchomione zostanie jądro systemu Windows 04:49.830 --> 04:51.720 i nastąpi instalacja krytycznych sterowników 04:51.720 --> 04:53.130 rozruchowych. 04:53.130 --> 04:55.710 Teraz mają nastąpić wszelkie dodatkowe inicjalizacje systemu 04:55.710 --> 04:58.320 operacyjnego, a na koniec użytkownikowi zostanie wyświetlony 04:58.320 --> 05:00.420 ekran logowania do systemu Windows. 05:00.420 --> 05:02.610 Teraz, gdy komponenty rozruchowe oprogramowania układowego 05:02.610 --> 05:05.430 są ładowane podczas bezpiecznego rozruchu, oprogramowanie układowe najpierw 05:05.430 --> 05:09.030 zweryfikuje, czy wszystkie pliki wykonywalne UV i sam program ładujący system operacyjny mają 05:09.030 --> 05:11.130 nienaruszoną integralność i nie zostały naruszone przez 05:11.130 --> 05:13.320 jakiekolwiek złośliwe oprogramowanie. 05:13.320 --> 05:15.810 Oznacza to, że ich ładowanie będzie bezpieczne. 05:15.810 --> 05:18.300 Następnie komponenty rozruchowe systemu Windows zweryfikują 05:18.300 --> 05:20.370 podpis cyfrowy każdego komponentu przed ich 05:20.370 --> 05:21.750 załadowaniem. 05:21.750 --> 05:23.910 Jeśli jakikolwiek komponent nie przejdzie tej kontroli 05:23.910 --> 05:26.100 sygnatur, nie zostanie załadowany i wywoła alert dla 05:26.100 --> 05:27.450 użytkownika końcowego. 05:27.450 --> 05:30.060 Wreszcie, krytyczne sterowniki rozruchowe zostaną sprawdzone 05:30.060 --> 05:32.490 pod kątem ich znanych dobrych skrótów, a jeśli przejdą 05:32.490 --> 05:35.160 tę kontrolę, zostaną załadowane jako ostatnia część procesu 05:35.160 --> 05:37.110 bezpiecznego rozruchu. 05:37.110 --> 05:39.780 Teraz, jeśli chodzi o bezpieczny rozruch, chcę, abyś pamiętał, 05:39.780 --> 05:42.210 że jest to procedura, która zostanie wykorzystana do 05:42.210 --> 05:45.060 zapewnienia, że nasz system operacyjny może być zaufany i nie 05:45.060 --> 05:47.820 padł ofiarą specjalnego rodzaju złośliwego oprogramowania 05:47.820 --> 05:49.410 znanego jako root kit. 05:49.410 --> 05:51.690 Aby bezpieczny rozruch działał, musi 05:51.690 --> 05:54.750 być włączony w systemie UEFI, a system operacyjny 05:54.750 --> 05:56.670 również musi go obsługiwać. 05:56.670 --> 05:59.070 Ostatnią funkcją bezpieczeństwa, którą musimy omówić 05:59.070 --> 06:01.950 w BIOS-ie lub UEFI, jest ustawienie uprawnień dla portów USB 06:01.950 --> 06:03.300 na płycie głównej. 06:03.300 --> 06:06.090 Większość nowoczesnych systemów można skonfigurować tak, 06:06.090 --> 06:08.700 aby włączały lub wyłączały porty USB na płycie głównej, 06:08.700 --> 06:11.700 a niektóre pozwalają nawet na ograniczenie portów USB, tak aby 06:11.700 --> 06:13.380 nie obsługiwały niektórych typów urządzeń 06:13.380 --> 06:16.590 USB, ale nadal pozwalały na korzystanie z innych. 06:16.590 --> 06:18.660 W tym przypadku największym zmartwieniem jest 06:18.660 --> 06:20.940 zwykle złośliwe oprogramowanie i utrata danych. 06:20.940 --> 06:24.120 Jeśli chodzi o złośliwe oprogramowanie, porty USB mogą stanowić świetną 06:24.120 --> 06:25.560 drogę ataku dla kogoś, kto próbuje 06:25.560 --> 06:27.270 włamać się do systemu. 06:27.270 --> 06:29.700 Na przykład, jeśli załaduję pendrive'a ze złośliwym 06:29.700 --> 06:32.370 oprogramowaniem, mogę upuścić go na parkingu przed budynkiem 06:32.370 --> 06:34.950 biurowym, a jeśli ktoś będzie ciekawy, podniesie go i 06:34.950 --> 06:37.050 podłączy do swojego komputera, może zainstalować 06:37.050 --> 06:39.900 złośliwe oprogramowanie w systemach. 06:39.900 --> 06:42.810 Dlatego chcemy temu zapobiec, wyłączając możliwość 06:42.810 --> 06:46.320 odczytu i zapisu z urządzeń pamięci masowej przez USB. 06:46.320 --> 06:49.110 Można to zrobić poprzez całkowite zablokowanie USB, 06:49.110 --> 06:51.630 ale wtedy nie będzie można używać takich rzeczy 06:51.630 --> 06:55.050 jak słuchawki i kamery internetowe, myszy i klawiatury itp. 06:55.050 --> 06:58.020 Zamiast tego moglibyśmy po prostu ograniczyć możliwość 06:58.020 --> 07:01.020 używania ich jako urządzeń pamięci masowej, co uniemożliwiłoby 07:01.020 --> 07:03.630 podłączanie do systemu takich urządzeń jak pendrive'y, 07:03.630 --> 07:06.870 dyski flash czy zewnętrzne dyski twarde. 07:06.870 --> 07:08.250 Pomoże nam to zapobiec przedostawaniu 07:08.250 --> 07:10.110 się złośliwego oprogramowania do naszego systemu. 07:10.110 --> 07:13.020 Ale oprócz tego może nam również pomóc w zapobieganiu wydostawaniu 07:13.020 --> 07:14.880 się danych z naszego systemu. 07:14.880 --> 07:17.280 Załóżmy na przykład, że pracujesz dla ściśle 07:17.280 --> 07:19.110 tajnej organizacji rządowej. 07:19.110 --> 07:20.760 Nie chciałbyś, aby ktoś mógł wejść 07:20.760 --> 07:23.700 z małym pendrive'em, podłączyć go do komputera i pobrać wszystkie 07:23.700 --> 07:25.560 twoje informacje, a następnie wyjść 07:25.560 --> 07:27.540 z nim przez drzwi wejściowe. 07:27.540 --> 07:30.960 Aby temu zapobiec, można skonfigurować UEFI tak, aby blokował 07:30.960 --> 07:34.560 porty USB lub uniemożliwiał ich używanie do urządzeń pamięci masowej, 07:34.560 --> 07:37.830 a także blokował możliwość korzystania z pendrive'ów i zewnętrznych 07:37.830 --> 07:40.650 dysków twardych, co sprawi, że ludzie nie będą mogli 07:40.650 --> 07:42.540 wyjść frontowymi drzwiami z krytycznymi 07:42.540 --> 07:45.120 informacjami. 07:45.120 --> 07:48.180 Pamiętaj więc, że jeśli chodzi o bezpieczeństwo, istnieją 07:48.180 --> 07:51.270 trzy główne rzeczy, które może zapewnić ci BIOS lub UEFI. 07:51.270 --> 07:54.060 Pierwszą z nich jest możliwość ustawiania haseł w celu 07:54.060 --> 07:56.910 kontrolowania dostępu do różnych części systemu. 07:56.910 --> 07:59.280 Drugą jest możliwość włączenia bezpiecznego rozruchu, 07:59.280 --> 08:01.770 aby upewnić się, że system operacyjny nie został naruszony 08:01.770 --> 08:03.180 przed jego załadowaniem. 08:03.180 --> 08:07.050 Po trzecie, istnieje możliwość ograniczenia lub wyłączenia portów USB na płycie 08:07.050 --> 08:08.850 głównej, aby zapobiec przedostawaniu 08:08.850 --> 08:10.380 się złośliwego oprogramowania 08:10.380 --> 08:13.083 do systemu lub wyciekowi danych z systemu.