M 4.84 Nutzung der BIOS-Sicherheitsmechanismen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, IT-Benutzer

Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an, mit denen sich die Benutzer oder die Systemadministration vertraut machen sollten. Auf keinen Fall sollten aber ungeschulte Benutzer BIOS- Einträge verändern, da hierdurch schwerwiegende Schäden verursacht werden können.

• Paßwortschutz: Bei den meisten BIOS-Varianten kann ein Paßwortschutz aktiviert werden. Dieser kann verhältnismäßig einfach überwunden werden, sollte aber auf jeden Fall benutzt werden, wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. Meist kann ausgewählt werden, ob das Paßwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS- Einstellungen überprüft werden soll. Teilweise können sogar verschiedene Paßwörter für diese Prüfungen benutzt werden. Um zu verhindern, daß Unbefugte die BIOS-Einstellungen ändern, sollte das Setup- oder Adminstrator-Paßwort immer aktiviert werden.

Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf die Diskettenlaufwerke durch ein Paßwort geschützt werden. Dies sollte benutzt werden, um das unbefugte Aufspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern.

• Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein, daß immer als erstes von der Festplatte gebootet wird. Beispielsweise sollte also "C,A" eingestellt werden. Dies schützt vor der Infektion mit Boot-Viren, falls versehentlich eine Diskette im Laufwerksschacht vergessen wird, spart Zeit und schont das Diskettenlaufwerk.

Die Umstellung der Boot-Reihenfolge soll verhindern, daß der Boot-Vorgang von einem externen Datenträger erfolgt. Hiermit soll gewährleistet werden, daß während des Boot-Vorgangs nicht auf eine im Diskettenlaufwerk eingelegte Diskette zugegriffen wird, woduch ein Boot-Virus den PC infizieren könnte (siehe G 5.23 Computer-Viren). Je nach verwendetem BIOS und Betriebssystem muß auch das Booten von anderen austauschbaren Datenträgern wie CD-ROMs verhindert werden.

Ohne eine Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie Zugriffsschutzmechanismen (siehe M 4.1 Paßwortschutz für PC und Server) umgangen werden. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems, so daß gesetzte Sicherheitsattribute ignoriert werden (siehe M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT System).

Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden, da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern.

• Virenschutz, Virus-Warnfunktion: Wird diese Funktion aktiviert, verlangt der Rechner vor einer Veränderung des Bootsektors bzw. des MBR (Master Boot Record) eine Bestätigung, ob diese durchgeführt werden darf.

• Welche BIOS- Sicherheitsmechanismen sind aktiviert?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.