WEBVTT

00:00.000 --> 00:05.100
教师：在本课中, 我们将探索BIOS和UEFI内部的一些安全功能｡

00:05.100 --> 00:09.120
除了在我们的网络和操作系统环境中提供保护外,

00:09.120 --> 00:13.320
我们还需要考虑预操作系统环境的安全性｡

00:13.320 --> 00:16.560
这是计算机在启动阶段可能受到攻击的区域,

00:16.560 --> 00:18.720
因此必须考虑引导加载程序保护,

00:18.720 --> 00:27.030
包括BIOS和UEFI密码, 安全启动过程以及主板USB端口上的权限设置｡

00:27.030 --> 00:29.700
请记住, BIOS和UEFI是两种不同类型的固件,

00:29.700 --> 00:35.730
用于我们的计算机, 以帮助我们在加载和启动我们的操作系统｡

00:35.730 --> 00:38.610
每台计算机都可以有BIOS或UEFI,

00:38.610 --> 00:39.870
但不能两者都有｡

00:39.870 --> 00:42.300
BIOS是基本的输入/输出系统,

00:42.300 --> 00:44.880
它是一个固件接口, 为操作系统配置硬件,

00:44.880 --> 00:47.790
以便它启动｡

00:47.790 --> 00:53.550
依赖BIOS的计算机将使用主引导记录（MBR）来保存其引导信息,

00:53.550 --> 00:58.320
并识别包含要加载的操作系统的给定硬盘驱动器的分区｡

00:58.320 --> 01:01.980
BIOS是较旧的, 更传统的固件类型｡ 

01:01.980 --> 01:07.170
另一方面, UEFI或统一可扩展固件计划是一种较新类型的固件｡

01:07.170 --> 01:09.660
UEFI是一种系统固件, 在引导时提供对64位CPU操作的支持,

01:09.660 --> 01:17.520
在引导时提供完整的图形用户界面和鼠标操作, 以及更好的引导安全性｡

01:17.520 --> 01:24.120
依赖UEFI的计算机将使用一个名为GPT的分区表来保存它们的引导信息｡

01:24.120 --> 01:28.740
UEFI提供了从大小超过2TB的磁盘访问和引导的能力,

01:28.740 --> 01:31.470
并提供了独立于CPU的架构和驱动程序,

01:31.470 --> 01:36.840
以及可以包括网络功能和Web浏览访问的预操作系统环境｡

01:36.840 --> 01:39.900
总体而言, UEFI比BIOS更新和更先进,

01:39.900 --> 01:42.150
并在引导过程中提供额外的安全性和完整性检查,

01:42.150 --> 01:45.540
包括安全引导｡

01:45.540 --> 01:50.700
现在, BIOS和UEFI也可以使用几种不同类型的密码进行保护｡

01:50.700 --> 01:52.740
这包括主管､ 管理员或设置密码､

01:52.740 --> 01:58.470
用户或系统密码以及存储或硬盘驱动器密码｡

01:58.470 --> 02:05.400
管理员､ 管理员或设置密码是您在使用BIOS或UEFI时要找到的第一种密码｡

02:05.400 --> 02:10.050
此密码用于保护对BIOS或UEFI配置程序的访问,

02:10.050 --> 02:14.220
并防止未经授权的用户访问此敏感配置工具｡

02:14.220 --> 02:17.190
如果您设置了此密码, 则每当有人试图进入BIOS或UEFI时,

02:17.190 --> 02:28.710
都会要求他们在授予访问权限之前输入密码, 但这不会阻止某人打开计算机并启动到正常的操作系统环境｡

02:28.710 --> 02:31.590
此密码几乎总是在公司或企业网络中的计算机上设置,

02:31.590 --> 02:33.570
因此您的最终用户无法访问BIOS或UEFI,

02:33.570 --> 02:41.550
但您的系统管理员和技术人员可以（如果他们有正确的密码）｡

02:41.550 --> 02:47.430
用户或系统密码是可以在BIOS或UEFI中配置的第二种密码｡

02:47.430 --> 02:51.270
此密码用于锁定对整个计算机的访问｡ 

02:51.270 --> 02:55.530
每当电脑开机时, 它就会停下来并要求输入密码｡

02:55.530 --> 03:01.320
如果最终用户输入正确的密码, 计算机将继续加载操作系统并启动｡

03:01.320 --> 03:04.170
虽然这是一种非常安全的保护计算机的方法,

03:04.170 --> 03:07.380
但它几乎从未在公司或企业网络中使用过,

03:07.380 --> 03:09.300
因为这个密码必须与访问该计算机的所有用户共享,

03:09.300 --> 03:16.170
而这个共享密码则会否定我们试图获得的一些安全性｡

03:16.170 --> 03:19.290
相反, 您通常会看到仅在某人的计算机上使用的用户或系统密码,

03:19.290 --> 03:23.160
当他们是该计算机上的唯一用户时｡

03:23.160 --> 03:27.000
这是一个单独的密码, 与用于访问Windows､

03:27.000 --> 03:30.570
Linux或MacOS系统的用户密码不同,

03:30.570 --> 03:35.820
而是授予用户在该预操作系统环境中访问系统的权限｡

03:35.820 --> 03:40.050
第三种类型的密码称为存储或硬盘驱动器密码｡

03:40.050 --> 03:45.000
在现代计算机中包含可信平台模块或硬件安全模块之前,

03:45.000 --> 03:48.180
这种类型的密码曾经非常流行｡

03:48.180 --> 03:50.550
此密码将锁定对连接到系统的硬盘驱动器的访问,

03:50.550 --> 03:58.530
并要求最终用户输入密码, 以便从该硬盘读取并加载操作系统｡

03:58.530 --> 04:01.290
不像用户或系统密码, 锁定用户的整个系统,

04:01.290 --> 04:07.710
直到正确的密码输入, 存储或硬盘驱动器密码将只锁定他们的硬盘驱动器和能力,

04:07.710 --> 04:10.769
从它启动该操作系统｡

04:10.769 --> 04:14.550
我们需要介绍的下一个安全特性是安全引导｡

04:14.550 --> 04:17.130
可以在UEFI界面和设置中启用安全启动,

04:17.130 --> 04:20.370
BIOS不支持｡

04:20.370 --> 04:28.680
如果启用, 它将在Windows或其他支持此功能的操作系统的启动过程中执行三种不同的验证,

04:28.680 --> 04:34.590
以确保计算机没有被注入操作系统的某种恶意代码劫持｡

04:34.590 --> 04:38.550
让我们来看看正常Windows系统上的完整启动过程｡

04:38.550 --> 04:41.100
该过程的第一步发生在Windows计算机启动､

04:41.100 --> 04:45.870
加载固件引导组件和启动引导管理器时｡

04:45.870 --> 04:48.120
接下来, Windows加载程序将开始,

04:48.120 --> 04:49.830
Windows内核将启动,

04:49.830 --> 04:53.130
启动关键驱动程序安装将发生｡

04:53.130 --> 04:55.710
现在, 任何额外的操作系统初始化都将发生,

04:55.710 --> 05:00.420
最后, 用户将看到Windows登录屏幕｡

05:00.420 --> 05:02.610
现在, 当在安全引导期间加载固件引导组件时,

05:02.610 --> 05:13.320
固件首先要验证所有UV可执行文件和OS加载程序本身的完整性是否完好, 并且它们没有受到任何类型的恶意软件的危害｡

05:13.320 --> 05:15.810
这意味着他们可以安全地装货｡ 

05:15.810 --> 05:21.750
接下来, Windows引导组件将在加载它们之前验证每个组件的数字签名｡

05:21.750 --> 05:23.910
如果任何组件未通过此签名检查,

05:23.910 --> 05:27.450
则不会加载该组件, 并且会向最终用户触发警报｡

05:27.450 --> 05:30.060
最后, 引导关键驱动程序将根据其已知的良好散列进行检查,

05:30.060 --> 05:37.110
如果它们通过此检查, 则将作为安全引导过程的最后一部分加载｡

05:37.110 --> 05:42.210
现在, 当涉及到安全启动时, 我希望你记住这是一个将用于确保我们的操作系统本身可以信任的过程,

05:42.210 --> 05:45.060
它不会成为一种特殊类型的恶意软件的受害者,

05:45.060 --> 05:49.410
这种恶意软件被称为root kit｡

05:49.410 --> 05:51.690
为了使安全启动工作, 它必须在UEFI系统内部启用,

05:51.690 --> 05:56.670
并且您的操作系统也必须支持它｡

05:56.670 --> 06:03.300
我们需要在BIOS或UEFI中涵盖的最后一个安全功能是为主板上的USB端口设置权限｡

06:03.300 --> 06:08.700
现在, 大多数现代系统都可以配置为启用或禁用主板上的USB端口,

06:08.700 --> 06:13.380
有些甚至允许您限制USB端口, 以便它们不支持某些类型的USB设备,

06:13.380 --> 06:16.590
但仍允许使用其他设备｡

06:16.590 --> 06:20.940
现在, 这里最大的问题通常是恶意软件和数据丢失｡

06:20.940 --> 06:27.270
在恶意软件方面, USB端口可以为试图闯入您系统的人提供一个很好的攻击途径｡

06:27.270 --> 06:29.700
例如, 如果我在一个U盘上加载了一些恶意软件,

06:29.700 --> 06:32.370
我可以把它放在办公楼外的停车场, 如果有人好奇,

06:32.370 --> 06:39.900
把它捡起来, 插入他们的机器, 然后就可以把恶意软件安装到你的系统上｡

06:39.900 --> 06:46.320
因此, 我们希望通过禁用USB从大容量存储设备读取和写入的能力来防止这种情况｡

06:46.320 --> 06:49.110
你可以通过完全阻止USB来做到这一点,

06:49.110 --> 06:51.630
但这样你就不能使用耳机和网络摄像头,

06:51.630 --> 06:55.050
鼠标和键盘等东西｡

06:55.050 --> 06:58.020
因此, 我们可能只想限制将它们用作大容量存储设备的能力,

06:58.020 --> 07:06.870
这将阻止USB拇指驱动器或闪存驱动器或外部硬盘驱动器等任何东西连接到系统｡

07:06.870 --> 07:10.110
这可以帮助我们防止恶意软件被引入我们的系统｡

07:10.110 --> 07:14.880
但除此之外, 它还可以帮助我们防止数据流出我们的系统｡

07:14.880 --> 07:19.110
例如, 假设你为政府内部的一个绝密组织工作｡

07:19.110 --> 07:20.760
你不会希望有人能够带着一个小小的USB拇指驱动器走进来,

07:20.760 --> 07:27.540
把它插到电脑上, 下载你所有的信息, 然后带着它走出前门｡

07:27.540 --> 07:34.560
因此, 为了防止这种情况发生, 您实际上可以配置UEFI来阻止这些USB端口或防止它们用于大容量存储设备,

07:34.560 --> 07:45.120
并再次阻止使用拇指驱动器和外部硬盘驱动器的能力, 这将使人们无法带着您的关键信息走出前门｡

07:45.120 --> 07:51.270
所以请记住, 当涉及到安全性时, BIOS或UEFI可以为您提供三个主要方面｡

07:51.270 --> 07:56.910
第一个是设置密码以控制对系统不同部分的不同访问的能力｡

07:56.910 --> 07:59.280
第二个是启用安全启动的能力,

07:59.280 --> 08:03.180
以确保您的操作系统在加载之前没有受到损害｡

08:03.180 --> 08:07.050
第三是能够限制或禁用主板上的USB端口,

08:07.050 --> 08:13.083
以防止恶意软件被引入系统, 或防止数据从系统中泄露｡