O que habilitar ou desabilitar na BIOS para deixar o Windows 11 seguro?

[Adamastor Abrolio Silve]

 E o que é preciso ativar ou desativar na placa-mãe para deixar o Windows 11 mais seguro  além do fTPM ativo em um sistema com AMD da geração 2000?

 

Lauch CSM eu deixo como?

 a)ativo
 b) desativo?

Boot device control UEFi only?

Boot from storage devices?

a)UEFI driver first
b)Ignore
c) ou Legacy only?

Boot from PCI E expansio devices?

a)UEFI driver first
b)Ignore
c) ou Legacy only?

Em advanced fTPM AMD configuration: pra que serve a opção Erase fTPM NV for factory reset?

A senha de BIOS pode ser facilmente burlada? Lembro de ler em algum lugar um tipo de ataque ao  bitlocker e que era recomendado habilitar a  senha de BIOS  evitar esse ataque que era preciso acesso físico a máquina. Será que a senha de BIOS evitaria um ataque de acesso físico ou roubo/furto por exemplo? Porque pelo que entendi o bitlocker é relatiamente seguro com uma boa senha, porém acesso a BIOS poderia quebrar o bitlocker sem força bruta.

[GabrielLV]

9 minutos atrás, Adamastor Abrolio Silve disse:

Lauch CSM eu deixo como?

 a)ativo
 b) desativo?

Desativado. Ele irá fazer a UEFI da sua placa-mãe funcionar como BIOS, sendo que você só deve fazer isso caso você vá usar algum Sistema Operacional antigo no computador. Em qualquer outra situação, o CSM deve estar desabilitado.

 

10 minutos atrás, Adamastor Abrolio Silve disse:

Boot device control UEFi only?

Boot from storage devices?

a)UEFI driver first
b)Ignore
c) ou Legacy only?

Boot from PCI E expansio devices?

a)UEFI driver first
b)Ignore
c) ou Legacy only?

Essas opções são referentes a qual dispositivo deve ser inicializado. Não tem nada a ver com segurança.

 

10 minutos atrás, Adamastor Abrolio Silve disse:

Em advanced fTPM AMD configuration: pra que serve a opção Erase fTPM NV for factory reset?

Como o próprio nome diz: "Erase" é para apagar as configurações do fTPM. Faça isso apenas se você quiser resetar as configurações do fTPM.

 

11 minutos atrás, Adamastor Abrolio Silve disse:

A senha de BIOS pode ser facilmente burlada?

Quebrar a senha do BIOS é tão difícil quanto hackear uma conta. A menos que você conheça alguma falha de segurança que permita invadir o sistema sem precisar da senha, você terá que adivinha-la na força bruta.

 

12 minutos atrás, Adamastor Abrolio Silve disse:

Lembro de ler em algum lugar um tipo de ataque ao  bitlocker e que era recomendado habilitar a  senha de BIOS  evitar esse ataque que era preciso acesso físico a máquina. Será que a senha de BIOS evitaria um ataque de acesso físico ou roubo/furto por exemplo? Porque pelo que entendi o bitlocker é relatiamente seguro com uma boa senha, porém acesso a BIOS poderia quebrar o bitlocker sem força bruta.

O que vai evitar um ataque de acesso físico é você não deixar a porta da sua casa aberta para qualquer um entrar nela amigo. Você pode ativar todas as proteções no computador, mas se alguém conseguir roubar a sua máquina e tiver as ferramentas certas, ela poderá tentar acessar os dados de alguma forma. É exatamente por isso que existe o bitlocker (e sistemas de criptografia como o Veracrypt), pois eles impedem que a pessoa acesse os dados do disco rígido ou SSD mesmo que ela tente acessá-los a partir de outra máquina.

 

Colocar uma senha na BIOS não irá impedir que uma pessoa que tiver acesso físico a sua máquina (seja invadindo a sua casa, ou roubando o seu computador/notebook), pois ela irá impedir apenas que a pessoa acesse as configurações do BIOS. A partir do momento que a pessoa desmontar o computador/notebook e inseri-lo em outro computador para tentar acessar os dados, será a criptografia do disco que irá impedir esse acesso (seja via bitlocker, Veracrypt ou qualquer outro), a senha do BIOS nesse caso não servirá pra nada.

[Linio Alan]

Em 26/12/2024 às 22:04, GabrielLV disse:

Colocar uma senha na BIOS não irá impedir que uma pessoa que tiver acesso físico a sua máquina (seja invadindo a sua casa, ou roubando o seu computador/notebook), pois ela irá impedir apenas que a pessoa acesse as configurações do BIOS. A partir do momento que a pessoa desmontar o computador/notebook e inseri-lo em outro computador para tentar acessar os dados, será a criptografia do disco que irá impedir esse acesso (seja via bitlocker, Veracrypt ou qualquer outro), a senha do BIOS nesse caso não servirá pra nada.

 

Infelizmente agora nem isso mais viu, já conseguiram contornar isso também agora no Windows 11 (versões anteriores todas já eram possíveis de transpor essa barreira), pessoal não brinca em serviço

 

Windows 11 BitLocker Encryption Bypassed To Extract Volume Encryption Keys

 

... e só piora

 

 

 

Chapéu de alumínio ficou obsoleto já, negócio é popularizar capacete do magneto e construção de bunker subterrâneo.

[Adamastor Abrolio Silve]

@Linio AlanSe o computador estiver totalmente desligado, essa vulnerabilidade se aplica ainda?

[Linio Alan]

Bom, esse ataque se baseia em dump de memória, então não se aplica à máquinas desligadas não, muito pelo contrário ela precisa estar ligada.

 

Ataque na máquina desligada já se enquada no Art. 155 do CPP.

 

ba-dum-tsss!