Lal*_*ahu 3 encryption boot uefi
Device Security Report
======================
Report details
Date generated: 2023-06-03 10:15:33
fwupd version: 1.8.12
System details
Hardware model: LENOVO 81DE
Processor: Intel(R) Core(TM) i3-7020U CPU @ 2.30GHz
OS: Ubuntu 23.04
Security level: HSI:0! (v1.8.12)
HSI-1 Tests
Intel Management Engine Version: ! Fail (Not Valid)
UEFI Platform Key: Pass (Valid)
TPM v2.0: Pass (Found)
Firmware BIOS Region: Pass (Locked)
Firmware Write Protection Lock: Pass (Enabled)
Platform Debugging: Pass (Not Enabled)
Intel Management Engine Manufacturing Mode: Pass (Locked)
UEFI Secure Boot: Pass (Enabled)
Firmware Write Protection: Pass (Not Enabled)
Intel Management Engine Override: Pass (Locked)
TPM Platform Configuration: Pass (Valid)
HSI-2 Tests
Intel BootGuard Fuse: Pass (Valid)
Intel BootGuard Verified Boot: ! Fail (Not Valid)
Intel BootGuard ACM Protected: ! Fail (Not Valid)
Intel BootGuard: Pass (Enabled)
IOMMU Protection: ! Fail (Not Found)
TPM Reconstruction: Pass (Valid)
Platform Debugging: Pass (Locked)
HSI-3 Tests
Suspend To RAM: ! Fail (Enabled)
Intel BootGuard Error Policy: ! Fail (Not Valid)
Pre-boot DMA Protection: ! Fail (Not Enabled)
Intel CET: ! Fail (Not Supported)
Suspend To Idle: ! Fail (Not Enabled)
HSI-4 Tests
Encrypted RAM: ! Fail (Not Supported)
Intel SMAP: Pass (Enabled)
Runtime Tests
Firmware Updater Verification: Pass (Not Tainted)
Linux Swap: ! Fail (Not Encrypted)
Linux Kernel Lockdown: Pass (Enabled)
Linux Kernel Verification: Pass (Not Tainted)
Host security events
For information on the contents of this report, see https://fwupd.github.io/hsi.html
Raf*_*ffa 11
这些是 UEFI/BIOS 报告的配置/设置,它们根据硬件支持而有所不同,并且在 Ubuntu 中无法对它们做太多事情(除了更新您的 UEFI/BIOS 固件)...这些也是将列出的信息类型在计算机的扩展产品规格中...操作系统类型对 UEFI/BIOS 报告这些信息的方式几乎没有影响,有时甚至没有影响。
\n该报告是该工具安全评估的结果fwupdmgr security...它对机器进行分类(根据 UEFI/BIOS 报告其硬件/固件组件的方式),如验证主机固件安全性中所述:
\n\n首先必须为某些核心保护分配相对重要性。\n
\n
上述相对性可以而且确实从一个版本改变到下一个版本,因此安全等级可能会升级或降级。
\n\n\n然后必须进行评估以确定每个供应商\n如何符合该模型。
\n
您看到的报告是上述两个过程的结果。
\n并且应该在指定的上下文中解析/读取:
\n\n\n例如,用户可能会说,对于家庭使用的任何硬件,\n最低安全级别 (
\nHSI:1) 就足够了。对于工作笔记本电脑,\n公司 IT 部门可能会将型号的选择限制为\n满足级别HSI:2或更高级别标准的任何型号。记者或安全研究人员只会购买级别HSI:3及以上级别的产品。
而且,作为一个主要非技术性的副作用:
\n\n\n现实情况是,这
\nHSI:4将比一些\n评级为 的无品牌硬件更昂贵HSI:0。
即使该无品牌/未报告的硬件具有高质量并且可以满足高安全要求。
\n但是,也有一些条件和限制:
\n\n\n为了获得信任,此评级信息应分布在集中式不可知数据库(例如 LVFS)中。
\n
并非所有供应商都支持LVFS(Linux 供应商固件服务),也不是所有支持它的供应商都为其所有产品提供支持,也并非所有后者都及时提供支持。
\n此外,安全评估过程中还考虑了运行时行为。
\n话虽如此,回到你的问题:
\n\n\n安全检查失败。这个可以吗?
\n
就运行时行为而言,唯一报告的Fail是:
Linux Swap: ! Fail (Not Encrypted)\n事实上,这是基于交换未加密(这是大多数 Linux 机器上的常态......我们仅在可能高度脆弱的环境中加密交换,例如可能交换敏感数据的多用户机器)...因此,决定如果可以的话或者加密你的交换。
\n就安全级别而言,您需要首先决定您的目标安全级别,然后相应地阅读报告...例如,如果您的目标是HSI:1(临界状态)的安全级别的安全级别,其描述为:
\n\n\n基本保护,但任何失败都会导致严重的安全影响。
\n此安全级别对应于安全专业人员认为必不可少的最基本的安全保护。此级别的任何\n故障都会产生严重的安全影响,并且\n可能会在没有物理访问的情况下危及系统固件。
\n
然后,查看报告的相关部分(下HSI-1 Tests),显示唯一报告的Fail条目是:
Intel Management Engine Version: ! Fail (Not Valid) \n原因似乎是不受支持的主板/CPU 主芯片(考虑到您的规格,这不太可能)或英特尔管理引擎的过时版本,这可能意味着安装的版本与最近在 LVFS 更新的版本不匹配,如英特尔所述管理引擎 (CSME) 版本无效可能是系统上缓存的 LVFS 数据造成的,可以通过使用以下命令强制刷新本地副本来解决:
\nfwupdmgr refresh --force\n然后升级您的固件:
\nfwupdmgr update\n除此之外,就安全排名而言,任何高于您目标的安全级别的失败都应该是无关紧要的。
\n可能还值得注意的是,如果您禁用某些 UEFI/BIOS 功能(例如安全启动)并安装一些所需的专有驱动程序,这两者都将报告为 aFail并会降低您的计算机\xe2\x80\x99s 安全分类 \xe2 \x80\xa6 因此,即使从这个意义上说,我想有时“成功不是建立在成功之上的。它\xe2\x80\x99 建立在失败之上。”
然而,这些评级当然不是针对高级用户,而是针对大多数基础级别用户,即使如此,我们中的一些人(包括@Austin Hemmelgarn和其他人)可能更愿意将其称为信息安全指南而不是严格的排名系统 \xe2\x80\xa6 尽管如此,还是有用的,但人们应该记住这个安全排名系统的基础,这一点是我在上面引用的官方文档中的这一声明所明确的,其中内容如下:
\n\n\n...安全专业人员认为至关重要。
\n
| 归档时间: |
|
| 查看次数: |
2367 次 |
| 最近记录: |