M 4.84 Nutzung der BIOS-Sicherheitsmechanismen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an, mit denen sich die Systemadministration vertraut machen sollte. Auf keinen Fall sollten ungeschulte Benutzer BIOS -Einträge verändern, da hierdurch schwerwiegende Schäden verursacht werden können.
- Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden. Dieser ist teilweise verhältnismäßig einfach überwindbar, sollte aber auf jeden Fall benutzt werden, wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen.
Meist kann ausgewählt werden, ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden. Um zu verhindern, dass Unbefugte die BIOS-Einstellungen ändern, sollte das Setup- oder Administrator-Passwort immer aktiviert werden. - Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein, dass nur von der Festplatte gebootet werden kann und das Booten von anderen Datenträgern verhindert wird. Dies schützt vor einer Infektion mit bestimmten Schadprogrammen, falls versehentlich ein Datenträger im System vergessen wurde.
Ohne eine Umstellung der Boot-Reihenfolge können auch Zugriffsschutzmechanismen (siehe M 4.1 Passwortschutz für IT-Systeme) und weitere Sicherheitsmaßnahmen umgangen werden. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems, so dass gesetzte Sicherheitsattribute ignoriert werden (siehe M 4.49 Absicherung des Boot-Vorgangs für ein NT-basiertes Windows-System).
Generell sollte durch einen Boot-Versuch überprüft werden, ob die Umstellung der Boot-Reihenfolge wirksam ist, da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. - Virenschutz, Virus-Warnfunktion: Wird diese Funktion aktiviert, verlangt der Rechner vor einer Veränderung des Boot-Sektors bzw. des MBR (Master Boot Record) eine Bestätigung, ob diese Änderung durchgeführt werden darf. Wird die Virus-Warnfunktion von der BIOS-Version unterstützt, sollte diese Funktion als zusätzlicher Schutz aktiviert werden.
Prüffragen:
- Ist das BIOS so konfiguriert, dass die BIOS-Einstellungen nur nach Eingabe eines Passworts geändert werden können?
- Ist die Boot-Reihenfolge im BIOS so eingestellt, dass nur von der Festplatte gebootet werden kann?
- Wurde getestet, ob die im BIOS eingestellte Boot-Reihenfolge wirksam ist?
- Ist die Virus-Warnfunktion des BIOS zum Schutz vor unbeabsichtigten Veränderungen des Boot-Sektors oder des MBR (Master Boot Record) aktiviert?