WEBVTT 00:00.000 --> 00:02.730 ผู้สอน: ในบทเรียนนี้ เราจะมาสำรวจคุณลักษณะด้านความปลอดภัยบางอย่างภายใน 00:02.730 --> 00:05.100 BIOS และ UEFI 00:05.100 --> 00:09.120 นอกเหนือจากการให้การป้องกันบนเครือข่ายของเราและในสภาพแวดล้อมของระบบปฏิบัติการของเราแล้ว 00:09.120 --> 00:13.320 เรายังจำเป็นต้องพิจารณาถึงความปลอดภัยของสภาพแวดล้อมก่อนระบบปฏิบัติการของเราด้วย 00:13.320 --> 00:16.560 นี่คือพื้นที่ของคอมพิวเตอร์ที่สามารถถูกโจมตีได้ในระหว่างขั้นตอนการบู๊ต 00:16.560 --> 00:18.720 ดังนั้น จึงต้องพิจารณาการป้องกัน bootloader 00:18.720 --> 00:27.030 รวมถึงรหัสผ่าน BIOS และ UEFI กระบวนการบู๊ตอย่างปลอดภัย และการตั้งค่าการอนุญาตบนพอร์ต USB ของเมนบอร์ด 00:27.030 --> 00:35.730 โปรดจำไว้ว่า BIOS และ UEFI เป็นเฟิร์มแวร์สองประเภทที่แตกต่างกันที่ใช้ในคอมพิวเตอร์ของเราเพื่อช่วยเราในระหว่างการโหลดและบูตระบบปฏิบัติการของเรา 00:35.730 --> 00:38.610 คอมพิวเตอร์แต่ละเครื่องสามารถมี BIOS หรือ UEFI อยู่ในนั้น 00:38.610 --> 00:39.870 แต่ไม่ใช่ทั้งสองอย่าง 00:39.870 --> 00:47.790 BIOS เป็นระบบอินพุต/เอาท์พุตพื้นฐาน และเป็นอินเทอร์เฟซเฟิร์มแวร์ที่เตรียมใช้งานฮาร์ดแวร์สำหรับระบบปฏิบัติการเพื่อให้สามารถบู๊ตได้ 00:47.790 --> 00:49.980 คอมพิวเตอร์ที่ใช้ BIOS กำลังจะใช้มาสเตอร์บูตเรคคอร์ดหรือ 00:49.980 --> 00:58.320 MBR เพื่อเก็บข้อมูลการบู๊ตและระบุพาร์ติชั่นของฮาร์ดไดรฟ์ที่มีระบบปฏิบัติการที่จะโหลด 00:58.320 --> 01:01.980 BIOS เป็นประเภทเฟิร์มแวร์ที่เก่ากว่าและล้าสมัยกว่า 01:01.980 --> 01:07.170 ในทางกลับกัน UEFI หรือการริเริ่มเฟิร์มแวร์ขยายแบบครบวงจรเป็นเฟิร์มแวร์ประเภทใหม่กว่า 01:07.170 --> 01:09.660 UEFI คือประเภทของเฟิร์มแวร์ระบบที่ให้การสนับสนุนการทำงานของ 01:09.660 --> 01:12.690 CPU 64 บิตในขณะบู๊ต อินเทอร์เฟซผู้ใช้แบบกราฟิกเต็มรูปแบบ 01:12.690 --> 01:17.520 และการทำงานของเมาส์ขณะบู๊ต และความปลอดภัยในการบู๊ตที่ดีขึ้น 01:17.520 --> 01:19.920 คอมพิวเตอร์ที่ใช้ UEFI กำลังจะใช้ตารางพาร์ติชัน 01:19.920 --> 01:24.120 GUID ที่รู้จักกันในชื่อ GPT เพื่อเก็บข้อมูลการบู๊ต 01:24.120 --> 01:26.160 UEFI ให้ความสามารถในการเข้าถึงและบูตจากดิสก์ที่มีขนาดมากกว่าสองเทราไบต์ 01:26.160 --> 01:28.740 และมีสถาปัตยกรรมและไดรเวอร์ที่ไม่ขึ้นกับ CPU 01:28.740 --> 01:36.840 รวมถึงสภาพแวดล้อมก่อนระบบปฏิบัติการที่สามารถรวมความสามารถเครือข่ายและการเข้าถึงการท่องเว็บ 01:36.840 --> 01:42.150 โดยรวมแล้ว UEFI นั้นใหม่กว่าและล้ำหน้ากว่า BIOS และให้การตรวจสอบความปลอดภัยและความสมบูรณ์เพิ่มเติมระหว่างกระบวนการบู๊ต 01:42.150 --> 01:45.540 รวมถึงการบู๊ตแบบปลอดภัย 01:45.540 --> 01:48.270 ตอนนี้ BIOS และ UEFI สามารถป้องกันได้โดยใช้รหัสผ่านประเภทต่างๆ 01:48.270 --> 01:50.700 ไม่กี่ประเภทเช่นกัน 01:50.700 --> 01:52.740 ซึ่งรวมถึงรหัสผ่านผู้ดูแล ผู้ดูแลระบบ 01:52.740 --> 01:58.470 หรือการตั้งค่า รหัสผ่านผู้ใช้หรือระบบ และรหัสผ่านที่เก็บข้อมูลหรือฮาร์ดไดรฟ์ 01:58.470 --> 02:03.180 รหัสผ่านสำหรับผู้ดูแล ผู้ดูแลระบบ หรือการตั้งค่าเป็นรหัสผ่านประเภทแรกที่คุณจะพบเมื่อคุณใช้ 02:03.180 --> 02:05.400 BIOS หรือ UEFI 02:05.400 --> 02:07.470 รหัสผ่านนี้ใช้เพื่อป้องกันการเข้าถึงโปรแกรมกำหนดค่า 02:07.470 --> 02:14.220 BIOS หรือ UEFI และป้องกันผู้ใช้ที่ไม่ได้รับอนุญาตจากการเข้าถึงเครื่องมือกำหนดค่าที่ละเอียดอ่อนนี้ 02:14.220 --> 02:17.190 หากคุณตั้งรหัสผ่านนี้ เมื่อใดก็ตามที่มีคนพยายามเข้าสู่ 02:17.190 --> 02:19.890 BIOS หรือ UEFI จะต้องป้อนรหัสผ่านก่อนที่จะให้สิทธิ์การเข้าถึง 02:19.890 --> 02:28.710 แต่จะไม่ขัดขวางไม่ให้ผู้อื่นเปิดเครื่องคอมพิวเตอร์และบูตเข้าสู่การทำงานตามปกติ สภาพแวดล้อมของระบบ 02:28.710 --> 02:31.590 รหัสผ่านนี้มักจะถูกตั้งค่าบนคอมพิวเตอร์ในเครือข่ายองค์กรหรือองค์กร 02:31.590 --> 02:33.570 เพื่อให้ผู้ใช้ปลายทางของคุณไม่สามารถเข้าถึง 02:33.570 --> 02:41.550 BIOS หรือ UEFI ได้ แต่ผู้ดูแลระบบและช่างเทคนิคของคุณสามารถทำได้หากมีรหัสผ่านที่ถูกต้อง 02:41.550 --> 02:43.830 รหัสผ่านผู้ใช้หรือระบบเป็นรหัสผ่านประเภทที่สองที่สามารถกำหนดค่าได้ใน 02:43.830 --> 02:47.430 BIOS หรือ UEFI 02:47.430 --> 02:51.270 รหัสผ่านนี้ใช้เพื่อล็อกการเข้าถึงคอมพิวเตอร์ทั้งหมด 02:51.270 --> 02:55.530 เมื่อใดก็ตามที่เปิดเครื่อง คอมพิวเตอร์จะหยุดทำงานและขอรหัสผ่าน 02:55.530 --> 03:01.320 หากผู้ใช้ปลายทางป้อนรหัสผ่านที่ถูกต้อง คอมพิวเตอร์จะยังคงโหลดระบบปฏิบัติการและบูตเครื่องต่อไป 03:01.320 --> 03:04.170 แม้ว่าวิธีนี้จะเป็นวิธีที่ปลอดภัยมากในการปกป้องคอมพิวเตอร์ 03:04.170 --> 03:09.300 แต่ก็แทบไม่เคยใช้ในเครือข่ายองค์กรหรือองค์กร เนื่องจากรหัสผ่านนี้จะต้องแชร์กับผู้ใช้ทุกคนที่เข้าถึงคอมพิวเตอร์เครื่องนั้น 03:09.300 --> 03:16.170 จากนั้นรหัสผ่านที่ใช้ร่วมกันนี้จะลบล้างการรักษาความปลอดภัยบางอย่างที่ เรากำลังพยายามที่จะได้รับ 03:16.170 --> 03:19.290 แต่คุณมักจะเห็นรหัสผ่านผู้ใช้หรือระบบที่ใช้เฉพาะในคอมพิวเตอร์ของใครบางคน 03:19.290 --> 03:23.160 เมื่อพวกเขาเป็นผู้ใช้คนเดียวในนั้น 03:23.160 --> 03:27.000 นี่เป็นรหัสผ่านที่แยกจากกันและแตกต่างจากรหัสผ่านผู้ใช้ที่จะใช้ในการเข้าถึงระบบ 03:27.000 --> 03:35.820 Windows, Linux หรือ MacOS และให้สิทธิ์แก่ผู้ใช้ในการเข้าถึงระบบในสภาพแวดล้อมก่อนระบบปฏิบัติการนั้นแทน 03:35.820 --> 03:40.050 รหัสผ่านประเภทที่สามเรียกว่ารหัสผ่านที่เก็บข้อมูลหรือฮาร์ดไดรฟ์ 03:40.050 --> 03:48.180 รหัสผ่านประเภทนี้เคยเป็นที่นิยมอย่างมากก่อนที่จะมีโมดูลแพลตฟอร์มที่เชื่อถือได้หรือโมดูลความปลอดภัยของฮาร์ดแวร์ในคอมพิวเตอร์สมัยใหม่ 03:48.180 --> 03:58.530 รหัสผ่านนี้จะล็อคการเข้าถึงฮาร์ดไดรฟ์ที่เชื่อมต่อกับระบบและต้องการให้ผู้ใช้ปลายทางป้อนรหัสผ่านเพื่อให้สามารถอ่านฮาร์ดดิสก์นั้นและโหลดระบบปฏิบัติการได้ 03:58.530 --> 04:03.420 ไม่เหมือนกับรหัสผ่านผู้ใช้หรือระบบที่จะล็อกไม่ให้ผู้ใช้ออกจากระบบทั้งหมดจนกว่าจะป้อนรหัสผ่านที่ถูกต้อง 04:03.420 --> 04:10.769 รหัสผ่านที่เก็บข้อมูลหรือฮาร์ดไดรฟ์จะล็อกเฉพาะผู้ใช้ออกจากฮาร์ดไดรฟ์และความสามารถในการบู๊ตระบบปฏิบัติการนั้นจากมัน 04:10.769 --> 04:14.550 คุณลักษณะด้านความปลอดภัยถัดไปที่เราต้องครอบคลุมเรียกว่าการบูตแบบปลอดภัย 04:14.550 --> 04:17.130 สามารถเปิดใช้งานการบู๊ตแบบปลอดภัยได้ในอินเทอร์เฟซและการตั้งค่า 04:17.130 --> 04:20.370 UEFI และ BIOS ไม่รองรับ 04:20.370 --> 04:23.310 หากเปิดใช้งาน ระบบจะทำการตรวจสอบที่แตกต่างกันสามครั้งในระหว่างกระบวนการบู๊ตสำหรับ 04:23.310 --> 04:25.620 Windows หรือระบบปฏิบัติการอื่นๆ ที่รองรับความสามารถนี้ 04:25.620 --> 04:34.590 เพื่อให้แน่ใจว่าคอมพิวเตอร์ไม่ได้ถูกไฮแจ็กโดยโค้ดอันตรายบางประเภทที่แทรกเข้าไปในระบบปฏิบัติการ 04:34.590 --> 04:36.630 มาดูขั้นตอนการบูทแบบเต็มในระบบ 04:36.630 --> 04:38.550 Windows ปกติกัน 04:38.550 --> 04:41.100 ขั้นตอนแรกของกระบวนการเกิดขึ้นเมื่อคอมพิวเตอร์ 04:41.100 --> 04:43.950 Windows เริ่มทำงาน คอมโพเนนต์สำหรับบู๊ตเฟิร์มแวร์ถูกโหลด 04:43.950 --> 04:45.870 และตัวจัดการการบู๊ตเริ่มทำงาน 04:45.870 --> 04:48.120 ถัดไป ตัวโหลด Windows กำลังจะเริ่มทำงาน เคอร์เนลของ 04:48.120 --> 04:53.130 Windows กำลังจะเริ่มทำงาน และการติดตั้งไดรเวอร์ที่สำคัญสำหรับการบู๊ตจะเกิดขึ้น 04:53.130 --> 04:55.710 ขณะนี้ การเริ่มต้นระบบปฏิบัติการเพิ่มเติมใดๆ 04:55.710 --> 04:58.320 กำลังจะเกิดขึ้น และในที่สุด ผู้ใช้จะพบกับหน้าจอเข้าสู่ระบบ 04:58.320 --> 05:00.420 Windows 05:00.420 --> 05:02.610 ตอนนี้ เมื่อคอมโพเนนต์การบู๊ตของเฟิร์มแวร์ถูกโหลดระหว่างการบู๊ตแบบปลอดภัย 05:02.610 --> 05:05.430 อันดับแรก เฟิร์มแวร์จะตรวจสอบว่าไฟล์ปฏิบัติการ 05:05.430 --> 05:13.320 UV ทั้งหมดและตัวโหลดระบบปฏิบัติการมีความสมบูรณ์ครบถ้วนและไม่ได้ถูกโจมตีโดยมัลแวร์ชนิดใดๆ 05:13.320 --> 05:15.810 ซึ่งหมายความว่าพวกเขาจะโหลดได้อย่างปลอดภัย 05:15.810 --> 05:21.750 ถัดไป คอมโพเนนต์สำหรับบูต Windows จะตรวจสอบลายเซ็นดิจิทัลของแต่ละคอมโพเนนต์ก่อนที่จะโหลด 05:21.750 --> 05:23.910 หากคอมโพเนนต์ใดไม่ผ่านการตรวจสอบลายเซ็น 05:23.910 --> 05:27.450 ระบบจะไม่โหลดและจะส่งการแจ้งเตือนไปยังผู้ใช้ปลายทาง 05:27.450 --> 05:30.060 สุดท้าย ไดรเวอร์ที่สำคัญสำหรับบูตจะถูกตรวจสอบกับแฮชที่ดีที่รู้จัก 05:30.060 --> 05:37.110 และหากผ่านการตรวจสอบนี้ ก็จะถูกโหลดเป็นส่วนสุดท้ายของกระบวนการบูตที่ปลอดภัย 05:37.110 --> 05:45.060 ตอนนี้ เมื่อพูดถึงการบู๊ตอย่างปลอดภัย ผมอยากให้คุณจำไว้ว่านี่เป็นขั้นตอนที่จะใช้เพื่อให้แน่ใจว่าระบบปฏิบัติการของเราสามารถเชื่อถือได้ 05:45.060 --> 05:47.820 และไม่ตกเป็นเหยื่อของมัลแวร์ชนิดพิเศษที่เรียกว่ารูทคิท 05:47.820 --> 05:49.410 . 05:49.410 --> 05:51.690 เพื่อให้บูตอย่างปลอดภัยทำงานได้ จะต้องเปิดใช้งานภายในระบบ 05:51.690 --> 05:56.670 UEFI ของคุณ และระบบปฏิบัติการของคุณต้องรองรับด้วย 05:56.670 --> 05:59.070 คุณลักษณะด้านความปลอดภัยขั้นสุดท้ายที่เราต้องครอบคลุมภายใน 05:59.070 --> 06:03.300 BIOS หรือ UEFI คือการตั้งค่าการอนุญาตสำหรับพอร์ต USB บนเมนบอร์ดของคุณ 06:03.300 --> 06:06.090 ขณะนี้ ระบบที่ทันสมัยส่วนใหญ่สามารถกำหนดค่าให้เปิดหรือปิดใช้งานพอร์ต 06:06.090 --> 06:13.380 USB บนเมนบอร์ดของคุณได้ และบางระบบจะอนุญาตให้คุณจำกัดพอร์ต USB เพื่อไม่ให้รองรับอุปกรณ์ USB บางประเภท และยังอนุญาตให้ระบบอื่นๆ 06:13.380 --> 06:16.590 ใช้แล้ว. 06:16.590 --> 06:20.940 ตอนนี้ ความกังวลใหญ่ที่นี่ปกติจะเกี่ยวกับมัลแวร์และการสูญหายของข้อมูล 06:20.940 --> 06:27.270 ในแง่ของมัลแวร์ พอร์ต USB สามารถเป็นช่องทางที่ดีในการโจมตีสำหรับผู้ที่พยายามเจาะระบบของคุณ 06:27.270 --> 06:29.700 ตัวอย่างเช่น ถ้าฉันโหลดธัมบ์ไดรฟ์ USB ที่มีมัลแวร์ 06:29.700 --> 06:32.370 ฉันสามารถนำไปทิ้งไว้ที่ลานจอดรถนอกอาคารสำนักงานได้ 06:32.370 --> 06:34.950 และถ้าใครสงสัยและหยิบมันขึ้นมาและเสียบเข้ากับเครื่องของพวกเขา 06:34.950 --> 06:37.050 ก็จะสามารถติดตั้งมัลแวร์ลงในเครื่องได้ 06:37.050 --> 06:39.900 ระบบของคุณ 06:39.900 --> 06:42.810 ดังนั้นเราจึงต้องการป้องกันสิ่งนี้โดยปิดความสามารถของ 06:42.810 --> 06:46.320 USB ในการอ่านและเขียนจากอุปกรณ์เก็บข้อมูลขนาดใหญ่ 06:46.320 --> 06:49.110 คุณสามารถทำได้โดยการบล็อก USB พร้อมกัน แต่คุณจะไม่สามารถใช้สิ่งต่างๆ 06:49.110 --> 06:51.630 เช่น หูฟังและเว็บแคม เมาส์และคีย์บอร์ด 06:51.630 --> 06:55.050 และอื่นๆ เช่นนั้น 06:55.050 --> 06:58.020 ดังนั้น เราอาจต้องการเพียงแค่จำกัดความสามารถในการใช้เป็นอุปกรณ์จัดเก็บข้อมูลขนาดใหญ่ 06:58.020 --> 07:01.020 และสิ่งนี้จะป้องกันไม่ให้สิ่งอื่นใด เช่น ธัมบ์ไดรฟ์ 07:01.020 --> 07:06.870 USB หรือแฟลชไดรฟ์ หรือฮาร์ดไดรฟ์ภายนอกเชื่อมต่อกับระบบ 07:06.870 --> 07:10.110 สิ่งนี้สามารถช่วยให้เราป้องกันมัลแวร์ไม่ให้นำเข้าสู่ระบบของเรา 07:10.110 --> 07:14.880 แต่นอกเหนือจากนั้น มันยังช่วยให้เราป้องกันไม่ให้ข้อมูลหลุดออกจากระบบของเราได้อีกด้วย 07:14.880 --> 07:19.110 ตัวอย่างเช่น สมมติว่าคุณทำงานให้กับองค์กรลับสุดยอดภายในรัฐบาล 07:19.110 --> 07:20.760 คุณคงไม่ต้องการให้ใครเดินเข้ามาพร้อมกับธัมบ์ไดรฟ์ 07:20.760 --> 07:27.540 USB ขนาดเล็ก เสียบเข้ากับคอมพิวเตอร์ และดาวน์โหลดข้อมูลทั้งหมดของคุณแล้วเดินออกไปที่ประตูหน้าพร้อมกับมัน 07:27.540 --> 07:30.960 ดังนั้น เพื่อป้องกันสิ่งนี้ คุณสามารถกำหนดค่า UEFI ของคุณให้บล็อกพอร์ต 07:30.960 --> 07:34.560 USB เหล่านั้นหรือป้องกันไม่ให้ใช้สำหรับอุปกรณ์เก็บข้อมูลขนาดใหญ่ 07:34.560 --> 07:37.830 และอีกครั้ง บล็อกความสามารถในการใช้ทัมบ์ไดรฟ์และฮาร์ดไดรฟ์ภายนอก 07:37.830 --> 07:45.120 ซึ่งจะทำให้ผู้คน ไม่สามารถเดินออกไปที่ประตูหน้าพร้อมกับข้อมูลที่สำคัญของคุณได้ 07:45.120 --> 07:48.180 ดังนั้นโปรดจำไว้ว่า เมื่อพูดถึงการรักษาความปลอดภัย มีสามสิ่งหลักที่ 07:48.180 --> 07:51.270 BIOS หรือ UEFI ของคุณสามารถมอบให้คุณได้ 07:51.270 --> 07:54.060 อย่างแรกคือความสามารถในการตั้งรหัสผ่านเพื่อควบคุมการเข้าถึงส่วนต่าง 07:54.060 --> 07:56.910 ๆ ของระบบของคุณ 07:56.910 --> 08:03.180 ประการที่สองคือความสามารถในการเปิดใช้การบู๊ตอย่างปลอดภัยเพื่อให้แน่ใจว่าระบบปฏิบัติการของคุณไม่ถูกบุกรุกก่อนที่จะโหลด 08:03.180 --> 08:13.083 และสามคือความสามารถในการจำกัดหรือปิดใช้งานพอร์ต USB บนเมนบอร์ดของคุณเพื่อป้องกันไม่ให้มัลแวร์เข้าสู่ระบบหรือข้อมูลจากการถูกขโมยออกจากระบบของคุณ