不怕贼惦记——商务PC安全之开机保护下篇
整机工坊
在上一期我们已经见识了通过TPM安全芯片和指纹等生物识别技术是如何遏制非法开机的行为的。不过,防止窃贼开机盗取资料的方法何止这两个,更多机型还采取了USB安全密钥、BIOS电磁锁等方式,以“复合型”方式防止窃贼开机、开箱。
安全密钥:双重限制保平安
普通PC一般通过设置用户名和密码防止他人登录,但这样可能有规律性和习惯性的纰漏。安全密钥则提供了128位加密的安全钥匙,购买具有这种功能的商务PC的企业用户,可以免费获得一个形状如闪存一样的安全密钥。
在实际使用时,当用户将安全密钥插入电脑中,即可安全登录系统。将安全密钥从电脑上拨掉后,别人是无法登录系统的,也可以有效降低用户密码被破解的可能性。
而某些商务PC还提供了二代身份证的登录认证方式:用户将自己的二代身份证置于与PC相匹配的特殊二代身份证读卡器上,电脑会获取用户的照片、姓名等信息,通过简单配置,便可以在系统上创建一个登录账户。创建账户成功后,员工离开座位时,只要随手取下电脑上的二代身份证退出系统,此后用户再开机后,只须刷一下二代身份证,就可以直接以自己的姓名为用户名登录系统,这样用户不在座位上的时候,电脑被别人使用的可能性很低,也不用再记密码了。
BIOS电磁锁:内部上锁更安全
实际上,除了比较常见的物理防盗措施和芯片、生物识别、安全密钥开机防盗外,现在不少商务PC还采用了更完善的防盗手段。例如,不少的窃贼,在TPM安全芯片和指纹识别和安全密钥面前无计可施,而系统又采用了一定的加密措施时,会重新打机内存储设备的主意,妄图绕过开机验证。因此,配合开机验证,进一步保证开机安全的BIOS电磁锁就成为一个传统开机保护方式的“保险锁”。
比如戴尔OptiPlex和HP Compaq DC系列商务PC,都为机箱设计了BIOS电磁锁,它包括电磁锁和智能传感器,电磁锁与主板连接在一起,并可作为普通防盗锁使用。
而智能传感器则安置在机箱内部与机箱盖或侧面板之间,它可自动感知机箱盖板是否被打开,只要小偷打开机箱,传感探头自动复位,并将此次开箱事件自动记录到BIOS中,并借助嵌入在BIOS中的子系统通过密码实现电磁锁的开关管理,或配合客户端管理软件通知远端网络管理员,通过E-mail报警服务,第一时间发现机箱盖板被打开,有效防止主机零件被盗。
电磁锁可通过BIOS控制机箱实现内部上锁,并可通过网络实现远程开锁。当机箱被打开时,感应装置通过网络通知用户,并及时控制Windows开机权限。这样可以简化IT 环境的计划、配置和管理工作,从而使管理总成本大幅降低。
提示:在使用商务PC的BIOS电磁锁时,事先必须在BIOS选项中开启电磁锁,才能控制电子锁状态。所以一定要为电脑设置好BIOS开机密码,并且隔一段时间就更换一次,防止BIOS开机密码被他人破解。