我意识到使用密码保护 BIOS/UEFI 菜单绝对没有意义!
原因如下:
这是最容易“破解”的事情。 字面上地。任何人都可以使用跳线和用户手册来删除任何计算机的 BIOS 密码,使用任何使用物理计算机的人都可以访问的恢复密钥。
你甚至不需要保护它! 如果我错了,请纠正我,但 BIOS/UEFI 菜单中没有任何内容可以对您的计算机硬件执行任何操作或访问任何操作系统,甚至安全启动通常默认情况下处于打开状态。
无论如何,您都需要物理硬件访问权限才能访问 BIOS 菜单。 您必须使用实际的计算机来访问菜单,此时您要么闯入建筑物,要么偷了某人的物理计算机!
如果您不同意,请给我您的意见,但我真的不明白 BIOS/UEFI 密码有什么意义!
除了davidgo的答案(当我输入我的答案时,他的答案突然出现,但不想丢弃答案)
在某些情况下,密码保护 BIOS 仍然很有用。
一台可公开访问且具有足够保护而您无能为力的计算机将受益于受密码保护的 BIOS。
您可以禁用 USB 端口等、限制互联网访问和/或限制运行程序等。
将计算机放置在容易被注意到的篡改位置将确保有人无法通过更改 BIOS 设置来进行恶作剧,或者通过启用 USB 端口让计算机执行非设计目的的操作来造成更多损害。在那里放置那台计算机的公司。
对于想要为小孩锁定电脑的父母来说,它也很有用。通过同时设置管理员密码和BIOS密码,父母可以确保孩子只有在填写密码后才能使用计算机,而他们在这个年龄通常还不够聪明,无法找到绕过密码的方法。清除密码意味着家长发现可能导致无法完全访问计算机的情况。
关于这个主题的最后一点。BIOS 访问密码就像一个柜子上挂着一把极弱的挂锁。
你给它加锁以表明其他人不应该访问它,即使可以用回形针绕过它。事实上,有人绕过它,他们的行为就会受到质疑,而一旦被发现,就足以产生影响。这里的挂锁并不是绝对不允许任何人进入的,但它的存在只是作为一个标志:不,我不想让你在这里。
有人必须违反道德准则并自愿跨越这条线,你可以对违反这条线的人实施惩罚。
您的想法有一定道理,但您可能忽略了(至少)2 个用例 -
第一个是企业 IT 部门设置障碍的一种方式,让那些并不真正了解计算机/无法轻松打开笔记本电脑外壳的人更难进行更改。
我认为更重要的一个是与 SecureBoot/TPM/Bitlocker 或类似的相关。非常粗略的概述 - TPM 在启动时对系统元素的各种值进行校验,并将这些值写入计算机运行时无法修改的寄存器。然后,像 Bitlocker 这样的程序可以使用这些校验和作为密码/密码的一部分,以便在系统被篡改时允许自动解锁/限制对系统的访问。
这些 TPM 校验和称为 PCR 寄存器。Windows根据哪个 TPM PCR 密封到 BitLocker 密码中?PCR0 证明 BIOS 未被破坏,并使用额外的 PCR 来检查启动顺序 - 因此可以将 BIOS 上的密码作为 TPM 的一部分进行检查 - 如果有人篡改了 SecureBoot 进程/BIOS 设置,Bitlocker 可能会要求要安装的备份密钥。这对于拥有一个可以启动、要求登录密码然后解密系统的系统非常有用 - 如果检测到任何更改 - 包括对 BIOS 的更改,则这会触发需要 Bitlocker 密码来提供对数据的访问。
即,这可以用于阻止/防止数据被盗,而数据通常比计算机更有价值。
首先,在某些主板上,无法使用跳线或取出电池来删除 BIOS 密码,因为密码存储在闪存中。示例在这里和这里。然而,有时无论如何都有办法重置它,就像第一个例子的答案一样。
其次,电脑机箱可以物理锁定在某个盒子中,并将电缆穿过一个小孔,这样您就无法访问主板。或者电脑可能受到视频监控(或工作人员的监督),因此开箱的人会产生怀疑。
我认为最重要的是启动顺序。安全 PC 应始终仅从内部硬盘驱动器启动。否则,有人可以从闪存驱动器启动它并在其上安装恶意软件。或者从中窃取受操作系统或某些第三方程序保护的数据。
如果 BIOS 有超频选项,有人可以通过超压来杀死 CPU 或 RAM。
不总是。就像我说的,如果机箱被锁定,您可以访问键盘,但不能访问主板。