基于硬件的FDE问题/关注

Question

我的问题基本上是这样的:人们对基于硬件的全磁盘加密(尤其是从安全审核的角度来看)有什么经验？

更多信息:我专门看的希捷妈妈FDE驱动器与Wave的大使馆套房(如果你有经验，其他自加密驱动器(SED)和/或s/w套房，请也看)。

事实:自加密驱动器(已配置)将自动锁定时，他们被关闭(计算机关机或休眠，或只是拔掉插头)。访问驱动器上的任何数据所需的密码、令牌或任何东西，驱动器本身是加密的(通常是AES-128)。但是，重新启动不会导致用户不得不使用该驱动器重新进行身份验证。

我从Wave中得到的响应是，即使用户选择了备用模式，它们也会强制休眠模式(在戴尔系统上)。但我担心的是以下袭击场景：

1. 机器打开了*(就像用户锁定了屏幕，离开了一会儿)，然后
2. 有人偷了笔记本电脑(把它开着)，然后
3. 使用引导盘或可引导的USB棒重新启动机器。

问这个问题:除了改变BIOS和密码保护BIOS设置中的引导序列之外，还有其他方法来减轻这种攻击吗？

*我知道在运行操作系统时还存在许多其他漏洞，例如通过网络对系统服务的缓冲区溢出攻击，但我发现这种攻击方式比使用引导盘(如上文所述)更少，尤其是随着自加密驱动器越来越普遍。

Answer 1

我们在笔记本电脑上使用了比特储物柜，因为我们无法从Wave那里得到一个很好的答案，而且我们认为同样的情况可能是非厂商特有的。

Answer 2

您可以使用密码保护BIOS设置，并从引导序列中删除CD驱动器和USB密钥。

这样，他们就必须关掉电脑来清除bios密码(跳转主板上的引脚)，这样他们就会被锁在HD之外。