DE102009012796A1 - System und Verfahren zum Schützen von Ressourcen, die einen Weitverkehrsnetzanschluss verwenden - Google Patents

System und Verfahren zum Schützen von Ressourcen, die einen Weitverkehrsnetzanschluss verwenden Download PDF

Info

Publication number
DE102009012796A1
DE102009012796A1 DE102009012796A DE102009012796A DE102009012796A1 DE 102009012796 A1 DE102009012796 A1 DE 102009012796A1 DE 102009012796 A DE102009012796 A DE 102009012796A DE 102009012796 A DE102009012796 A DE 102009012796A DE 102009012796 A1 DE102009012796 A1 DE 102009012796A1
Authority
DE
Germany
Prior art keywords
password
hard disk
power
user
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102009012796A
Other languages
English (en)
Inventor
David Carroll Challener
Justin Tyler Dubs
James Joseph Thrasher
Michael Terrell Vanover
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of DE102009012796A1 publication Critical patent/DE102009012796A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Ein System, ein Verfahren und ein Programmprodukt wird angegeben, das ermittelt, ob ein Netzwerkadapter von einem Computersystem entfernt worden ist. Falls der Netzwerkadapter, wie beispielsweise ein Drahtlosnetzwerkadapter von dem Computersystem entfernt worden ist, dann wird ein Indikator für offensichtliche Manipulation (z.B. ein Bit) in einem nichtflüchtigen Speicherbereich des Computersystems gesetzt. Zusätzlich wird ein Festplattenpasswort auf ein anderes Passwort gemäß einer Festplattenpasswort-Vorschrift gesetzt. Das Festplattenpasswort steuert den Zugriff auf der Festplatte gespeicherte Dateien. Gemäß einer Ausführungsform wird das Einschaltpasswort auch auf ein anderes Passwort geändert, so dass der Benutzer das neue Einschaltpasswort eingeben muss, wenn das Computersystem initialisiert wird, um auf die auf dem Computersystem gespeicherten Dateien zuzugreifen.

Description

  • Die vorliegende Erfindung betrifft ein System, ein Verfahren, und ein Programmprodukt, die Informations- und Computer-Ressourcen schützen, die eine Weitverkehrsnetzanschluss eines Informationsverarbeitungssystem verwenden.
  • Der Schutz von Ressourcen ist von zunehmender Wichtigkeit in fast jeder Art von Unternehmen. Nicht nur sind die Hardwareressourcen, wie beispielsweise tragbare Computer und Zubehörteile, teuer und wichtig geschützt zu werden, sondern oft sind die in einem Computersystem gespeicherten Informationsressourcen noch viel wertvoller. Informationsressourcen können gesetzlich geschütztes außerordentlich wertvolles geistiges Eigentum eines Unternehmens enthalten. Falls diese wertvolle Informationen in die falschen Hände fallen, wie beispielsweise in die eines Konkurrenten, erleidet das Unternehmen wahrscheinlich einen irreparablen Schaden.
  • Eine Netzwerktechnologie, die einen Dauerbetriebsschutz einsetzt ist nützlich für den Schutz von Ressourcen und Informationsressourcen. Befehle können an ein Informationsverarbeitungssystem, wie beispielsweise einen tragbaren Computer, geschickt werden, die den Computer anweisen, das System zu sperren. Darüber hinaus können Systeme mit GPS-Funktion das Netzwerk dafür benutzen, einen Benutzer über die Position der Ressource zu informieren. Auf diese Weise kann die Ressource angewiesen werden, in einen gesperrten Modus überzugehen, um die Informationsressourcen zu schützen, falls das System ver loren geht, gestohlen wird oder der Verbleib auf andere Weise nicht ausgemacht wird. Bei Verwendung der GPS-Technologie kann das System auch den Benutzer über seinen Verbleib unterrichten, so dass es vom Besitzen oder den Vollzugsbehörden aufgespürt werden kann. Ein Problem beim Dauerbetrieb-Ressourcenschutz besteht jedoch darin, dass dem Schutz entgegengewirkt werden kann, falls der für die Kommunikation mit dem System verwendete Netzwerkadapter entfernt oder anderweitig deaktiviert wird.
  • Man hat herausgefunden, dass die vorstehend genannten Probleme dadurch gelöst werden können, dass man ermittelt, ob der Netzwerkadapter von einem Computersystem entfernt worden ist. Falls der Netzwerkadapter, wie beispielsweise ein Drahtlosnetzwerkadapter, von dem Computersystem entfernt worden ist, dann wird ein Indikator für offensichtliche Manipulation (z. B. ein Bit) in einem nichtflüchtigen Speicherbereich des Computersystems gesetzt. Zusätzlich wird ein Festplattenpasswort gemäß einer Festplattenpasswort-Vorschrift auf ein anderes Passwort gesetzt. Das Festplattenpasswort kontrolliert den Zugriff auf Dateien, die auf der Festplatte gespeichert sind. Gemäß einer Ausführungsform wird das Festplattenpasswort auf ein Überwachungspasswort gesetzt. Auf diese Weise wäre ein übel wollender Benutzer, wie beispielsweise ein Dieb des Computersystems, der versucht gegen den Ressourcenschutzmechanismus durch Entfernen des Netzwerkadapters vorzugehen nicht in der Lage, ohne das neue Festplattenpasswort (wie beispielsweise das Überwachungspasswort) auf Dateien zuzugreifen, die auf der Festplatte gespeichert sind. Gemäß einer Ausführungsform wird auch das Einschaltpasswort auf ein neues Passwort gesetzt (z. B. auf ein Überwachungspasswort). Bei dieser Ausführungsform müsste der Benutzer bei der Initiali sierung des Computersystems das neue Einschaltpasswort eingeben, um auf die auf dem Computersystem gespeicherten Dateien zuzugreifen.
  • Das Voranstehende ist eine Zusammenfassung und weist deshalb notwendigerweise Vereinfachungen, Verallgemeinerungen und Auslassungen von Details auf; folglich werden die Fachleute verstehen, dass die Zusammenfassung nur veranschaulichend und nicht dazu gedacht ist, auf irgendeine Weise einschränkend zu sein. Andere Aspekte, erfinderische Merkmale und Vorteile der vorliegenden Erfindung, wie sie allein durch die Ansprüche definiert sind, werden deutlich in der nicht einschränkenden, detaillierten Beschreibung, die nachfolgend dargelegt ist.
  • Unter Bezugnahme auf die beigefügten Zeichnungen kann man die vorliegende Erfindung besser verstehen und ihre zahlreichen Gegenstände, Merkmale und Vorteile werden den Fachleuten klar, wobei:
  • 1 ein Blockschaltbild eines Datenverarbeitungssystems ist, in welchem die hierin beschriebenen Verfahren implementiert sein können;
  • 2 eine Erweiterung der in 1 gezeigten Umgebung des Informationsverarbeitungssystems angibt, um zu zeigen, dass die hierin beschriebenen Verfahren in einer Vielzahl von Informationsverarbeitungssystemen ausgeführt werden können, die in einer vernetzten Umgebung arbeiten;
  • 3 ist ein Netzschema, welches ein Informationsverarbeitungssystem mit einem Netzwerkadapter zeigt, das entfernte Sicherheitsbefehle über ein Computernetzwerk empfängt;
  • 4 ist ein Ablaufdiagramm, das die Schritte zeigt, die aufgrund von Setup-Vorschriften durchgeführt werden, die von dem Informationsverarbeitungssystem verwendet werden, wenn der Netzwerkadapter entfernt wird;
  • 5 ist ein Ablaufdiagramm, welches die Schritte zeigt, die dann durchgeführt werden, wenn der Netzwerkadapter entfernt wird, während das Informationsverarbeitungssystem in Betrieb ist; und
  • 6 ist ein Ablaufdiagramm, welches Schritte zeigt, die von dem Informationsverarbeitungssystem während der Initialisierung durchgeführt werden, um Manipulation und das Vorhandensein des Netzwerkadapters abzuprüfen.
  • Bestimmte Details werden in der nachfolgenden Beschreibung und den Figuren dargelegt, um ein genaues Verständnis der verschiedenen Ausführungsformen der Erfindung anzugeben. Bestimmte gut bekannte Details, die oftmals mit EDV- und Software-Technologie zusammenhängen, werden in der nachfolgenden Beschreibung jedoch nicht dargelegt, um zu vermieden, dass die verschiedenen Ausführungsformen der Erfindung undeutlich werden. Weiterhin werden Fachleute verstehen, dass sie andere Ausführungsformen der Erfindung ohne das eine oder andere nachstehend beschriebene Detail umsetzen können. Indem schließlich verschiedene Verfahren in der nachfolgenden Beschreibung unter Bezugnahme auf Schritte und Abläufe be schrieben werden, dient die Beschreibung an sich der Angabe einer klaren Implementierung der Ausführungsformen der Erfindung, und die Schritte und Abläufe der Schritte sollen nicht als für die Durchführung dieser Erfindung notwendig aufgefasst werden. Stattdessen ist das Nachfolgende dazu vorgesehen, eine detaillierte Beschreibung eines Beispiels der Erfindung anzugeben und soll nicht als beschränkend für die Erfindung an sich angesehen werden. Vielmehr fallen alle Varianten in den Schutzbereich der Erfindung, die durch die der Beschreibung folgenden Ansprüche definiert ist.
  • Die nachfolgende detaillierte Beschreibung folgt im Allgemeinen der Zusammenfassung der Erfindung, wie vorstehend dargelegt, und erklärt und erweitert weiterhin, wo es notwendig ist, die Definitionen der verschiedenen Aspekte und Ausführungsformen der Erfindung. Zu diesem Zweck legt diese detaillierte Beschreibung eine EDV-Umgebung in 1 dar, die geeignet ist, die zu der Erfindung dazugehörigen Software- und/oder Hardwaretechniken zu implementieren. Eine vernetzte Umgebung ist in 2 als eine Erweiterung der grundlegenden EDV-Umgebung dargestellt, um deutlich zu machen, dass moderne EDV-Techniken mit mannigfaltigen diskreten Bauteilen durchgeführt werden können.
  • 1 stellt ein Informationsverarbeitungssystem 100 dar, welches ein vereinfachtes Beispiel eines Computersystems ist, das in der Lage ist, die hierin beschriebenen EDV-Operationen durchzuführen. Das Informationsverarbeitungssystem 100 weist einen oder mehrere Prozessoren 110 auf, die mit einem Prozessorschnittstellenbus 112 verbunden sind. Der Prozessorschnittstellenbus 112 verbindet die Prozessoren 110 mit der Northbridge 115, die auch als der Memory Controller Hub (MCH) bekannt ist. Die Northbridge 115 ist mit dem Systemspeicher 120 verbunden und schafft eine Vorrichtung für den (die) Prozessor(en) 110, um auf das Systemspeicher zuzugreifen. Der Grafik-Controller 125 ist auch mit der Northbridge 115 verbunden. Bei einer Ausführungsform wird ein PCI Expressbus 118 verwendet, um die Northbridge 115 mit dem Grafik-Controller 125 zu verbinden. Der Grafik-Controller 125 ist mit einer Anzeigeeinrichtung 130 wie beispielsweise einem Computerbildschirm verbunden.
  • Die Northbridge 115 und eine Southbridge 135 sind miteinander verbunden und nutzen den Bus 119. Gemäß einer Ausführungsform ist der Bus ein Direct Media Interface (DMI) Bus, der Daten mit hohen Geschwindigkeiten in jede Richtung zwischen der Northbridge 115 und der Southbridge 135 übertragen. Gemäß einer anderen Ausführungsform wird ein Peripheral Component Interconnect (PCI) Bus verwendet, um die Northbridge und die Southbridge zu verbinden. Die Southbridge 135, die auch als der I/O Controller Hub (ICH) bekannt ist, ist ein Chip, der im Allgemeinen Fähigkeiten implementiert, die bei geringeren Geschwindigkeiten als die durch die Northbridge bereitgestellten Fähigkeiten arbeiten. Die Southbridge 135 stellt typischerweise verschiedene Busse bereit, die verwendet werden, um verschiedene Baugruppen zu verbinden. Diese Busse können PCI und PCI Express Busse umfassen, einen ISA Bus, einen System Management Bus (SMBus oder SMB), einen Low Pin Count (LPC) Bus. Der LPC Bus wird oft verwendet, um Bauteile mit geringer Bandbreite zu verbinden, wie beispielsweise Start ROM 196 und ”legacy” I/O Bauteile (die einen ”Super-I/O”-Chip verwenden). Die ”legacy” I/O Bauteile (198) können serielle und parallele Anschlüsse, Tastatur, Maus Diskettenlaufwerk-Controller umfassen. Der LPC Bus wird auch verwendet, um die Southbridge 135 mit einem Trusted Platform Modul (TPM) 195 zu verbinden. Andere Baugruppen, die oftmals in der Southbridge 135 enthalten sind, umfassen einen Direct Memory Access (DMA) Controller, einen Programmable Interrupt Controller (PIC), einen Speichervorrichtungs-Controller, die die Southbridge 135 mit einer nichtflüchtigen Speichervorrichtung 300 wie beispielsweise einem Hybrid-Festplattenlaufwerk unter Verwendung des Busses 184 verbinden.
  • Die ExpressCard 155 ist ein Slot, der verwendet wird, um die im laufenden Betrieb ansteckbaren Bauteile mit dem Informationsverarbeitungssystem zu verbinden. Die ExpressCard 155 unterstützt sowohl den PCI Express als auch die USB-Connectivity, indem sie mit der Southbridge 135 unter Verwendung sowohl des Universal Serial Busses (USB) als auch des PCI Express Busses verbunden wird. Die Southbridge 135 weist einen USB Controller 140 auf, der die USB-Connectivity zu Bauteilen schafft, die mit dem USB koppeln. Diese Bauteile umfassen eine Webcam (Camera) 150, einen Infrarotempfänger (IR) 148, eine Bluetooth Baugruppe 146, die drahtlose lokale Netzwerke (PANs) bereitstellt, eine Tastatur und ein Track Pad 144, und andere diverse über USB verbundene Geräte 142, wie beispielsweise eine Maus, wechselbare nichtflüchtige Speichervorrichtungen 145, Modems, Netzwerkkarten, ISDN-Anschlussteile, Fax, Drucker, USB-Hubs und viele andere Typen von über USB verbundene Geräte. Während eine wechselbare nichtflüchtige Speichervorrichtung 145 als ein über USB verbundenes Gerät gezeigt ist, könnte die nichtflüchtige Speichervorrichtung 145 unter Verwendung einer anderen Schnittstelle gekoppelt werden, wie beispielsweise einer Firewire-Schnittstelle, etc. Die wechselbare Speichervorrichtung 145 kann auch ein Hybrid-Plattenlaufwerk sein, wie beispielsweise das in den 3 bis 6 gezeigte Hybrid-Plattenlaufwerk 300.
  • Die drahtlose Lokalnetz(LAN)-Anordnung 175 ist mit der Southbridge 135 über den PCI oder PCI Express Bus 172 verbunden. Die LAN-Anordnung 175 implementiert typischerweise einen der IEEE 802.11 Standards der Drahtlos-Modulationstechniken, die alle dasselbe Protokoll verwenden, um drahtlos zwischen dem Informationsverarbeitungssystem 100 und einem anderen Computersystem oder einer anderen Computeranordnung zu kommunizieren. Eine optische Speichervorrichtung 190 ist mit der Southbridge 135 unter Verwendung eines Serial ATA (SATA) Busses 188 verbunden. Serial ATA Adapter und Vorrichtungen kommunizieren über einen seriellen Hochgeschwindigkeitsanschluss. Der Serial ATA Bus wird auch verwendet, um die Southbridge 135 mit anderen Formen von Speichervorrichtungen zu verbinden, wie beispielsweise Festplattenlaufwerke. Eine Audio-Schaltung 160, wie beispielsweise eine Sound-Karte, ist mit der Southbridge 135 über den Bus 158 verbunden. Die Audio-Schaltung 160 wird verwendet, um eine Funktionalität zu bereitzustellen wie beispielsweise Audio Line-In und Optical Digital Audio im Anschluss 162, einen optischen digitaler Ausgang und eine Kopfhörerbuchse 164, interne Lautsprecher 166 und ein internes Mikrofon 168. Ein Ethernet Controller 170 ist mit der Southbridge 135 unter Verwendung eines Busses wie beispielsweise dem PCI oder PCI Express Bus verbunden. Der Ethernet Controller 170 wird verwendet, um das Informationsverarbeitungssystem 100 mit einem Computernetzwerk wie beispielsweise einem Lokalnetz (LAN), dem Internet, und anderen öffentlichen und privaten Computernetzwerken zu verbinden.
  • Während 1 ein Informationsverarbeitungssystem zeigt, kann ein Informationsverarbeitungssystem verschiedene Formen annehmen. Zum Beispiel kann ein Informationsverarbeitungssystem die Form eines Arbeitsplatzrechners, eines Servers, eines tragbaren Computers, eines Laptops, eines Notebooks oder eines anders dimensionierten Computers oder Datenverarbeitungssystems annehmen. Zusätzlich kann ein Informationsverarbeitungssystem andere Formen annehmen wie beispielsweise die eines Organizers (Personal Digital Assistant (PDA)), eines Spielgeräts, einer ATM-Maschine, eines mobilen Telefons, eines Kommunikationsgerätes oder anderer Geräte, die einen Prozessor und einen Speicher aufweisen.
  • Das Trusted Platform Modul (TPM 195), das in der 1 gezeigt ist und hierin als Sicherheitsfunktionen schaffend beschrieben ist, ist jedoch nur ein Beispiel eines Hardwaresicherheitsmoduls (HSM). Deshalb umfasst das hierin beschriebene und beanspruchte TPM jede Art von HSM, das eine Hardwaresicherheitseinrichtung aufweist aber darauf nicht beschränkt ist, die dem Trusted Computing Groups (TCG) Standard entspricht und als ”Trusted Platform Module (TPM) Specification Version 1.2” bezeichnet wird. Das TPM ist ein Hardwaresicherheits-Subsystem, das in jeglichen Informationsverarbeitungssystemen enthalten sein kann, wie beispielsweise in jenen, die in der 2 dargestellt sind.
  • Die 2 gibt eine Erweiterung der in der 1 gezeigten Umgebung eines Informationsverarbeitungssystems an, um zu verdeutlichen, dass die hierin beschriebenen Verfahren auf einer großen Vielfalt von Informationsverarbeitungssystemen ausgeführt werden kann, die in einer vernetzten Umgebung arbeiten. Die Typen von Informationsverarbeitungssystemen rei chen von kleinen Handgeräten, wie beispielsweise Handheldcomputer/Mobiltelefon 210 bis zu großen Mainframe-Systemen, wie beispielsweise dem Mainframe-Computer 270. Beispiele von Handheldcomputern 210 umfassen Organizer (PDAs), Unterhaltungsgeräte wie beispielsweise MP3-Player, tragbare Fernsehgeräte und CD-Player. Andere Beispiele von Informationsverarbeitungssystemen umfassen einen Pen- oder Tablet-Computer 220, einen Laptop- oder Notebook-Computer 230, eine Workstation 240, ein Personal-Computersystem 250 und einen Server 260. Andere Typen von Informationsverarbeitungssystemen, die in der 2 nicht einzeln gezeigt sind, werden durch das Informationsverarbeitungssystem 280 repräsentiert. Wie gezeigt, können die verschiedenen Informationsverarbeitungssysteme unter Verwendung des Computernetzwerks 200 miteinander vernetzt sein. Typen von Computernetzwerken, die verwendet werden können, um die verschiedenen Informationsverarbeitungssysteme miteinander zu verbinden, umfassen Lokalnetze (LANs), drahtlose Lokalnetze (WLANs), das Internet, das öffentliche Telefonnetz (PSTN), andere drahtlose Netze und jede andere Netztopologie, die verwendet werden kann, die Informationsverarbeitungssysteme miteinander zu verbinden. Viele der Informationsverarbeitungssysteme umfassen nichtflüchtige Datenspeicher, wie beispielsweise Festplatten und/oder einen nichtflüchtigen Speicher. Einige der in der 2 gezeigten Informationsverarbeitungssysteme sind mit separaten nichtflüchtigen Datenspeichern dargestellt. (Der Server 260 ist mit den nichtflüchtigen Datenspeichern 265, der Mainframe-Computer 270 ist mit den nichtflüchtigen Datenspeichern 275, und das Informationsverarbeitungssystem 280 ist mit nichtflüchtigen Datenspeichern 285 gezeigt.). Die nichtflüchtigen Datenspeicher können eine Komponente sein, die außerhalb der verschiedenen Informationsverarbeitungssysteme oder innerhalb eines der Informationsverarbeitungssysteme sind. Zusätzlich kann die auswechselbare nichtflüchtige Speichervorrichtung 145 zwischen zwei oder mehr Informationsverarbeitungssystemen bei Verwendung verschiedener Techniken wie beispielsweise durch Verbinden der auswechselbaren nichtflüchtigen Speichervorrichtung 145 mit einem USB-Anschluss oder einem anderen Anschluss des Informationsverarbeitungssystems geteilt werden.
  • 3 ist ein Netzschema, das ein Informationsverarbeitungssystem mit einem Netzwerkadapter zeigt, der ferne Sicherheitsbefehle über ein Computernetzwerk empfängt. Das Informationsverarbeitungssystem 100 weist einen Netzwerkadapter 300, wie beispielsweise gezeigt eine Drahtlos-Fernnetz-(WWAN)Karte auf. Bei einer bevorzugten Ausführungsform ist dieser Netzwerkadapter ”AN” wann immer das Informationsverarbeitungssystem eingeschaltet ist, und ermöglicht es, dass das Informationsverarbeitungssystem Befehle empfängt, um in dem Fall, in dem das System verloren gegangen oder gestohlen worden ist, das Informationsverarbeitungssystem zu sperren, so dass auf die auf der Festplatte des Informationsverarbeitungssystems gespeicherten Informationen nicht zugegriffen werden kann. Wie hierin verwendet, umfasst ”Netzwerkadapter” jeden drahtgebundenen oder drahtlosen Netzwerkadapter, der es zulässt, dass das Informationsverarbeitungssystem mit einem anderen Informationssystem kommuniziert, wie beispielsweise unter Verwendung des Computernetzwerks 200. Beispiele von Netzwerkadaptern umfassen Ethernet-Adapter, Token-Ring-Adapter, drahtlose 802.11-Typ-Adapter, Bluetooth-Adapter und jeden anderen Adapter, der es ermöglicht, dass das Informationsverarbeitungssystem mit einem anderen Informationsverar beitungssystem und/oder einem Computernetzwerk, wie beispielsweise dem Computernetzwerk 200, koppelt.
  • Der Administrator 305, wie beispielsweise der Besitzer des Informationsverarbeitungssystems oder ein für Ressourcenschutz und -sicherheit zuständiger IT Fachmann in einem Unternehmen schickt Befehle 310 an das Informationsverarbeitungssystem. Die Befehle 310, wie beispielsweise ”Sperre das System” werden durch das Computernetzwerk 200, wie beispielsweise das Internet übertragen und werden von dem Netzwerkadapter 300 des Informationsverarbeitungssystems empfangen. Offensichtlich ist der Netzwerkadapter 300 ein kritischer Punkt in den Kommunikationsweg zwischen dem Administrator 305 und dem Informationsverarbeitungssystem 100. Ein übel wollender Benutzer wie beispielsweise ein Dieb des Informationsverarbeitungssystems 100 kann versuchen, durch Entfernen oder anderweitigem Deaktivieren des Netzwerkadapters 300 dem Empfang von Befehlen entgegenzuarbeiten, die ausgelegt sind, auf dem Informationsverarbeitungssystem 100 gespeicherte Ressourcen zu schützen. Wenn dies jedoch passiert, ermittelt das Informationsverarbeitungssystem, dass der Netzwerkadapter entfernt oder deaktiviert worden ist und antwortet darauf mit verschiedenen Sicherheitsmaßnahmen, wie in den 4 bis 6 beschrieben.
  • Die 4 ist ein Ablaufdiagramm, das die Schritte zeigt, die durchgeführt werden, um Vorschriften aufzustellen, die durch das Informationsverarbeitungssystem benutzt werden, wenn der Netzwerkadapter entfernt ist. Das Aufstellen wird durch den Benutzer 410 durchgeführt. Der Benutzer 410 kann nur der Benutzer sein, der das Informationsverarbeitungssystem einrichtet (z. B. ein Administrator oder IT Fachmann), wobei ein anderer Benutzer dem Informationsverarbeitungssystem zugeordnet wird, nachdem es eingerichtet worden ist. Dies ist insbesondere der Fall, falls das Unternehmen wünscht, dass Passworte, die von dem System verwendet werden, wenn Manipulation offensichtlich ist, dem zugewiesenen Benutzer unbekannt sind, sondern nur den für den Schutz der Informationsressourcen des Unternehmens verantwortlichen IT Fachleuten.
  • Der Ablauf beginnt bei 400, worauf im Schritt 420 das Informationsverarbeitungssystem das Festplattenpasswort empfängt, das zu benutzen ist, falls der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt ist. Zum Beispiel kann die Vorschrift aufgestellt werden, das Festplattenpasswort auf das Überwachungspasswort (SVP) des Systems, das Einschaltpasswort (POP), oder ein anderes Passwort zu setzen. Bei einer Ausführungsform ist das Passwort (beispielsweise das SVP) dem Benutzer des Informationsverarbeitungssystem unbekannt, aber stattdessen ist es der IT-Abteilung in dem Unternehmen bekannt. Diese Ausführungsform hält den Benutzer davon ab, das Passwort wissentlich oder unwissentlich anderen preiszugeben, wie beispielsweise einem Dieb des Systems. Im Schritt 425 wird die Festplattenpasswort-Vorschrift in einem nichtflüchtigen Speicherbereich 450 gespeichert, auf den durch einen Initialisierungsprozess (z. B. das BIOS), der abläuft, wenn das Informationsverarbeitungssystem initialisiert wird, zugegriffen werden kann.
  • Im Schritt 430 empfängt das Informationsverarbeitungssystem das neue Einschaltpasswort, das zu verwenden ist, falls der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt ist. Zum Beispiel kann die Vorschrift aufgestellt wer den, das Festplattenpasswort auf das Überwachungspasswort (SVP) oder ein anderes Passwort zu setzen. Gemäß einer Ausführungsform ist das Passwort (wie beispielsweise das SVP) dem Benutzer des Informationsverarbeitungssystems unbekannt, jedoch stattdessen ist es der IT-Abteilung in einem Unternehmen bekannt. Diese Ausführungsform verhindert, dass der Benutzer das Passwort wissentlich oder unwissentlich anderen wie beispielsweise einem Dieb des Systems enthüllt. Im Schritt 435 wird die Einschaltpasswort-Vorschrift in dem nichtflüchtigen Speicherbereich 450 gespeichert, auf den durch einen Initialisierungsprozess zugegriffen werden kann. Im Schritt 440 wird ein Indikator für offensichtliche Manipulation, wie beispielsweise ein manipulationsanzeigendes Bit auf ”NEIN” (z. B. ”0”) voreingestellt, um anzuzeigen, dass keine Manipulation hinsichtlich des Netzwerkadapters des Informationsverarbeitungssystems offensichtlich ist. Dieser Indikator für offensichtliche Manipulation ist im nichtflüchtigen Speicher 450 gespeichert. Wenn eine Manipulation erkannt ist, wird dieses Bit auf ”JA” (z. B. ”1”) gesetzt und der Initialisierungsprozess ergreift geeignete Sicherheitsmaßnahmen, um das Informationsverarbeitungssystem durch Setzen des Festplattenpassworts und des Einschaltpassworts, wie in den 5 und 6 beschrieben, zu schützen. Der Ablauf des Einrichtens endet danach bei 495.
  • Die 5 ist ein Ablaufdiagramm, das die Schritte zeigt, die durchgeführt werden, wenn der Netzwerkadapter entfernt ist während das Informationsverarbeitungssystem in Betrieb ist. Wie hierin verwendet umfasst der Begriff ”entfernt”, wenn er in Bezug auf den Netzwerkadapter des Informationsverarbeitungssystems verwendet wird, sowohl das physische Entfernen des Netzwerkadapters von dem Informationsverarbei tungssystem (z. B. Entfernen einer Drahtlosweitverkehrsnetz(WWAN)-Karte von dem Informationsverarbeitungssystem, etc.) als auch ein Deaktivieren des Netzwerkadapters (z. B., Ausschalten des Netzwerkadapters, so dass Netzwerkkommunikationen nicht empfangen werden können, Beschädigen des Netzwerkadapters oder anderweitiges Deaktivieren des Netzwerkadapters), so dass der Netzwerkadapter von der Kommunikation mit dem Informationsverarbeitungssystem „entfernt” ist.
  • Der Ablauf beginnt bei 500, wonach im Schritt 510 der Netzwerkadapter überprüft wird, um sicherzustellen, dass der Netzwerkadapter von dem Informationsverarbeitungssystem nicht entfernt worden ist (physisch entfernt oder deaktiviert). Eine Entscheidung wird getroffen, ob der Netzwerkadapter in dem Informationsverarbeitungssystem elektrisch vorhanden ist (Entscheidung 520). Falls der Netzwerkadapter, wie beispielsweise eine Drahtlosweitverkehrsnetz(WWAN)-Karte, in dem Informationsverarbeitungssystem elektrisch vorhanden ist, verzweigt sich die Entscheidung 520 in den „Ja”-Zeig 515, um fortwährend das Vorhandensein des Netzwerkadapter (z. B. alle paar Sekunden Abprüfen des Vorhandenseins der Karte) abzuprüfen.
  • Auf der anderen Seite, wenn bei einer der Prüfungen festgestellt wird, dass der Netzwerkadapter entfernt worden ist (z. B. physisch entfernt, deaktiviert, beschädigt, oder anderweitig nicht in der Lage Netzwerkkommunikationen zu empfangen), dann verzweigt die Entscheidung 520 in den ”Nein”-Zweig 525 für eine geeignete Behandlung. Im Schritt 530 wird der Indikator für offensichtliche Manipulation (z. B. ein manipulationsanzeigendes Bit, etc.) im nichtflüchtigen Speicher 450 gesetzt, um anzuzeigen, dass eine Manipulation mit dem Netz werkadapter stattgefunden hat (z. B. durch Setzen des Indikators auf ”JA,” ”WAHR,” ”1” oder eines dergleichen Wert, der verwendet wird, um Manipulation anzuzeigen). Im Schritt 535, wird die Festplattenpasswort-Vorschrift aus dem nichtflüchtigen Speicher 450 gelesen, die anzeigt, wie das Festplattenpasswort gesetzt werden soll, falls Manipulation festgestellt ist (z. B. kann die Vorschrift darin bestehen, das Festplattenpasswort auf ein ”Überwachungs”-Passwort oder irgend ein anderes Passwort zu setzen). Im Schritt 540 wird die Einschaltpasswort-Vorschrift aus dem nichtflüchtigen Speicher 450 gelesen. Die Einschaltpasswort-Vorschrift zeigt an, wie das Einschaltpasswort gesetzt werden soll, falls Manipulation festgestellt wird (z. B. Ändern des normalen Einschaltpassworts auf das Überwachungspasswort, was sowohl das Einschaltpasswort als auch das Überwachungspasswort während der Einschalt-Ablaufsteuerung erfordert, etc.). Im Schritt 545 wird das Festplattenpasswort 555, das Dateien schützt, die auf einer oder mehreren Festplatten 550 gespeichert sind, entsprechend der Festplattenpasswort-Vorschrift geändert, die im Schritt 535 gelesen wurde. Im Schritt 560 wird das Einschaltpasswort 570, das im nichtflüchtigen Speicher gespeichert ist, entsprechend der Einschaltpasswort-Vorschrift geändert, die im Schritt 540 gelesen wurde. Nachdem das Festplattenpasswort und das Einschaltpasswort gemäß geeigneten Vorschriften gesetzt worden sind, wird das System im Schritt 580 heruntergefahren, was vom Benutzer (z. B. jemandem, der das Informationsverarbeitungssystem gestohlen hat, etc.) verlangt, das System neu zu starten. Im vordefinierten Prozess 590 wird das System durch den Benutzer neu gestartet und während dem Inbetriebnahme-Prozess (in 6 beschrieben) werden Schritte durchgeführt, um das Informationsverarbeitungssystem und die darin gespeicherten Informationen zu schützen.
  • Die 6 ist ein Ablaufdiagramm, das die Schritte zeigt, die durch das Informationsverarbeitungssystem während der Initialisierung durchgeführt werden, um Manipulation und das Vorhandensein des Netzwerkadapters abzuprüfen. Der Ablauf beginnt bei 600 wonach im Schritt 602 der Indikator für offensichtliche Manipulation (z. B. ein manipulationsanzeigendes Bit, etc.), der im nichtflüchtigen Speicher 450 gespeichert ist, abgeprüft wird, um zu erkennen, ob Manipulation mit dem Netzwerkadapter während einer vorherigen Benutzung des Informationsverarbeitungssystem ermittelt worden ist. Eine Entscheidung wird getroffen, ob der Indikator für offensichtliche Manipulation anzeigt, dass Manipulation (z. B. Entfernen, Beschädigen, Deaktivieren, etc.) des Netzwerkadapters stattgefunden hat (Entscheidung 604). Falls Manipulation auf der Grundlage des Indikators offensichtlich ist, dann verzweigt die Entscheidung 604 in den ”Ja”-Zweig 606 wonach im Schritt 608 die Inbetriebnahmesequenz eine oder mehrere Einschaltpassworte von dem Benutzer gemäß der Einschaltpasswort-Vorschrift abfragt (z. B. benötige das Überwachungspasswort (SVP), benötige sowohl das SVP als auch das normale Einschaltpasswort, etc.). Im Schritt 610 werden die vom Benutzer eingegebenen Passworte validiert. Eine Entscheidung wird getroffen, ob die von dem Benutzer eingegeben Passwortantworten die korrekten Passworte sind (Entscheidung 612). Falls eines oder mehrere der Passworte nicht korrekt sind, dann verzweigt die Entscheidung 612 in den ”Nein”-Zweig 614 und der Ablauf wird zurückgeschleift und verlangt, dass der Benutzer das Passwort erneut eingibt. Gemäß einer Ausführungsform ist eine Zeitverzögerung enthalten, so dass ein Dieb oder ein übel wollender Benutzer nicht rasch versuchen kann, die Passworte zu erraten (z. B. bei Verwendung einer Hacking-Routine, etc.). Gemäß einer weiteren Ausführungsform wird die Zeitverzögerung in jeder Schleife des Zweiges 614 erhöht, um weiterhin den Bemühungen eines Diebes oder unberechtigten Benutzers entgegenzuarbeiten. Andererseits, wenn der Benutzer (z. B. ein Systemadministrator mit Kenntnis des SVP, ein berechtigter Benutzer, etc.) das korrekte Passwort bzw. die korrekten Passworte eingibt, verzeigt die Entscheidung 612 in den ”Ja”-Zweig 616 und der Benutzer darf auf das Informationsverarbeitungssystem und auf die auf den Festplatten gespeicherten Dateien zugreifen.
  • Zurück zu Entscheidung 604, falls der Indikator für offensichtliche Manipulation nicht anzeigt, dass Manipulation während einer vorangegangenen Benutzung des Informationsverarbeitungssystems auftrat, dann verzeigt die Entscheidung 604 in den ”Nein”-Zweig 620, um sicherzustellen, ob der Netzwerkadapter entfernt wurde (z. B. physisch entfernt, deaktiviert, beschädigt oder anderweitig nicht in der Lage Netzwerkkommunikation zu empfangen), während das Informationsverarbeitungssystem ausgeschaltet wurde (ehe die in 6 gezeigte Inbetriebnahmesequenz begann). Im Schritt 622 wird der Netzwerkadapter abgeprüft, um zu erkennen, falls der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt worden ist (z. B. physisch entfernt, deaktiviert, beschädigt oder anderweitig nicht in der Lage Netzwerkkommunikation zu empfangen). Eine Entscheidung wird getroffen, ob der Netzwerkadapter entfernt worden ist (Entscheidung 624). Falls der Netzwerkadapter nicht entfernt worden ist (z. B. kann er Netzwerkwerkmitteilungen empfangen, ist nicht deaktiviert, beschädigt, etc.) dann verzeigt die Entscheidung 624 in den ”Nein”-Zweig 625 worauf im Schritt 626 die normale Inbetriebnahme des Informationsverarbeitungssystems beginnt. Die nor male Inbetriebnahme des Informationsverarbeitungssystems beinhaltet, dass der Benutzer das normale Einschaltpasswort eingibt (falls eines für das System eingerichtet worden ist). Zusätzlich ist zu beachten, dass während des normalen Betriebs des Informationsverarbeitungssystems der Status des Netzwerkadapters periodisch überprüft wird, wie in 5 gezeigt, so dass, falls der Netzwerkadapter entfernt wird nachdem das System gestartet ist, geeignete Schritte durchgeführt werden, um das Informationsverarbeitungssystem und die darin gespeicherten Daten zu schützen.
  • Auf der anderen Seite, falls festgestellt wird, dass der Netzwerkadapter entfernt worden ist (z. B. physisch entfernt, deaktiviert, beschädigt oder anderweitig nicht in der Lage Netzwerkkommunikation zu empfangen) ehe das Informationsverarbeitungssystem eingeschaltet worden ist, dann verzweigt die Entscheidung 624 in den ”Ja”-Zweig 628 für eine geeignete Behandlung. Im Schritt 630 wird der Indikator für offensichtliche Manipulation (z. B. ein manipulationsanzeigendes Bit, etc.) im nichtflüchtigen Speicher 450 gesetzt, um anzuzeigen, dass Manipulation mit dem Netzwerkadapter stattgefunden hat (z. B. durch Setzen des Indikators auf ”Ja,” ”Wahr,” ”1” oder dergleichen Wert, der verwendet wird, um Manipulation anzuzeigen). Im Schritt 635 wird die Festplattenpasswort-Vorschrift aus dem nichtflüchtigen Speicher 450 ausgelesen, die anzeigt, wie das Festplattenpasswort gesetzt werden soll, falls Manipulation ermittelt wird (z. B. kann die Vorschrift darin bestehen, das Festplattenpasswort auf ein ”Überwachungs”-Passwort oder auf ein anderes Passwort zu setzen). Im Schritt 640 wird die Einschaltpasswort-Vorschrift aus dem nichtflüchtigen Speicher 450 gelesen. Die Einschaltpasswort-Vorschrift zeigt an, wie das Einschaltpasswort gesetzt werden soll, falls Manipulation ermittelt wird (z. B. Ändern des normalen Einschaltpassworts auf das Überwachungspasswort, was sowohl das Einschaltpasswort als auch das Überwachungspasswort während der Einschalt-Ablaufsteuerung erfordert, etc.). Im Schritt 645 wird das Festplattenpasswort 555, das auf einer oder mehreren Festplatten 550 gespeicherte Daten schützt, gemäß der Festplattenpasswort-Vorschrift geändert, die im Schritt 635 gelesen wurde. Im Schritt 660 wird das Einschaltpasswort 570, das in dem nichtflüchtigen Speicher gespeichert ist, gemäß der Einschaltpasswort-Vorschrift geändert, die im Schritt 640 gelesen wird. Im Schritt 665 wird der Ablauf zum Schritt 602 zurückgeschleift. Nun ist der Indikator für offensichtliche Manipulation gesetzt worden und geeignete Schritte werden durchgeführt, um das Informationsverarbeitungssystem und die darin gespeicherten Daten zu schützen (die Entscheidung 604 verzweigt nun in den ”Ja”-Zweig 606 und fordert ein oder mehrere Einschaltpassworte gemäß der Einschaltpasswort-Vorschrift an).
  • Eine der bevorzugten Ausführungen der Erfindung ist eine Client-Anwendung, nämlich ein Satz von Anweisungen (Programmcode) oder anderes funktional beschreibendes Material in einem Code-Modul, das sich zum Beispiel in dem Arbeitsspeicher des Computers befindet. Bis es vom Computer benötigt wird, kann der Satz an Anweisungen in einem anderen Computerspeicher gespeichert sein, zum Beispiel auf einer Festplatte oder in einem Wechselspeicher, wie beispielsweise einer optischen Platte (zur letztendlichen Verwendung in einer CD ROM) oder einer Diskette (zur letztendlichen Verwendung in einem Diskettenlaufwerk), oder kann aus dem Internet oder einem anderen Computernetzwerk heruntergeladen werden. Daher kann die vorliegende Erfindung als ein Computer-Programmprodukt zur Verwendung in einem Computer ausgeführt sein. Obwohl die verschiedenen beschriebenen Verfahren für gewöhnlich in einem selektiv aktivierten oder durch Software rekonfigurierten Universalcomputer implementiert sind, würde ein Fachmann zusätzlich auch erkennen, dass derartige Verfahren in Hardware, in Firmware, oder in spezialisierteren Vorrichtungen, die ausgelegt sind, die notwendigen Verfahrensschritte auszuführen, ausgeführt werden können. Funktional beschreibendes Material sind Informationen, die eine Funktionalität an eine Maschine übermitteln. Funktional beschreibendes Material umfasst, aber ist nicht beschränkt auf Computerprogramme, Anweisungen, Regeln, Gegebenheiten, Definitionen von errechenbaren Funktionen, Objekten und Datenstrukturen.
  • Während bestimmte Ausführungsformen der vorliegenden Erfindung gezeigt und beschrieben worden sind, ist es für Fachleute offensichtlich, dass auf der Grundlage der hierin enthaltenen Lehren, Änderungen und Modifikationen vorgenommen werden können ohne von dieser Erfindung und seiner breiteren Aspekte abzuweichen. Deshalb dienen die beigefügten Ansprüche dazu, in ihrem Schutzbereich alle derartigen Änderungen und Modifikationen zu umfassen, soweit sie sich innerhalb des wahren Sinns und Rahmens dieser Erfindung befinden. Weiterhin versteht sich, dass die Erfindung nur durch die beigefügten Ansprüche definiert ist. Es ist den Fachleuten verständlich, dass falls eine bestimmte Anzahl von eingeführten Anspruchselementen vorgesehen ist, eine solche Absicht in dem Anspruch explizit vorgetragen wird, und bei Fehlen eines derartigen Vortrags ist keine derartige Einschränkung gegeben. Als nicht einschränkendes Beispiel enthalten die folgenden beigefügten Ansprüche als Verständnishilfe die Verwendung der einführenden Ausdrücke ”zumindest ein” und ”ein oder mehrere” um An spruchselemente einzuführen. Jedoch soll der Gebrauch derartiger Ausdrücke nicht so interpretiert werden, dass die Einführung eines Anspruchselements durch die unbestimmten Artikel „ein” oder „eine” impliziert, dass sie jeden einzelnen Anspruch der ein derartiges Anspruchselement, das für Erfindungen eingeführt wird, darauf einschränken, nur ein einziges derartiges Elemente zu enthalten, selbst wenn derselbe Anspruch die einleitenden Ausdrücke „ein oder mehr” oder „zumindest ein” und unbestimmte Artikel wie beispielsweise ”ein” oder ”eine” aufweisen; dasselbe gilt für die Verwendung von bestimmten Artikeln in den Ansprüchen.

Claims (20)

  1. Computerimplementiertes Verfahren, das aufweist: Ermitteln, ob ein Netzwerkadapter von einem Computersystem entfernt worden ist; und als Antwort darauf, dass ermittelt worden ist, dass der Netzwerkadapter von dem Computersystem entfernt worden ist: Setzen eines Indikators für offensichtliche Manipulation in einem nichtflüchtigen Speicher des Computersystems; und Setzen eines Festplattenpassworts gemäß einer Festplattenpasswort-Vorschrift, wobei das Festplattenpasswort auf der Festplatte gespeicherte Dateien schützt.
  2. Verfahren nach Anspruch 1, das weiterhin aufweist: Setzen eines Einschaltpassworts gemäß einer Einschaltpasswort-Vorschrift, wobei das Einschaltpasswort durch einen Benutzer des Computersystems eingegeben wird, wenn das Computersystem initialisiert wird.
  3. Verfahren nach Anspruch 2, wobei das Einschaltpasswort auf ein Überwachungspasswort gesetzt wird, und wobei der Netzwerkadapter ein Drahtlosnetzwerkadapter ist.
  4. Verfahren nach Anspruch 1, das weiterhin aufweist: während das Computersystem. in Betrieb ist, wiederholtes Überprüfen ob der Netzwerkadapter entfernt worden ist; falls während einer der wiederholten Überprüfungen ermittelt wird, dass der Netzwerkadapter entfernt worden ist: Setzen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher; Lesen der Festplattenpasswort-Vorschrift; auf der Grundlage der Festplattenpasswort-Vorschrift Festlegen eines neuen Festplattenpassworts, wobei das Setzen des Festplattenpassworts das Festplattenpasswort auf das festgelegte neue Festplattenpasswort setzt; Lesen einer Einschaltpasswort-Vorschrift; auf der Grundlage der Einschaltpasswort-Vorschrift, Festlegen eines neuen Einschaltpassworts, wobei ein Einschaltpasswort, das benutzt wird, wenn das Computersystem initialisiert wird, auf das festgelegte neue Einschaltpasswort gesetzt wird; und Herunterfahren des Computersystems.
  5. Verfahren nach Anspruch 4, das weiterhin aufweist: nachdem das Computersystem heruntergefahren wurde: Neustarten des Computersystems durch einen Benutzer; während eines durch das Computersystem durchgeführten Initialisierungsprozesses, Anfordern, das der Benutzer das neue Einschaltpasswort eingibt; Empfangen einer Passwortantwort von dem Benutzer; Vergleichen der von dem Benutzer empfangenen Passwortantwort mit dem neuen Einschaltpasswort; Beenden den Initialisierungsprozesses und Zulassen, dass der Benutzer auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich eine Übereinstimmung zwischen der Passwortantwort und dem neuen Einschaltpasswort zeigt; und Verweigern, dass der Benutzer auf die auf der Festplatte gespeicherten Dateien zugreift, als Antwort darauf, dass der Vergleich keine Übereinstimmung zwischen der Passwortantwort und dem neuen Einschaltpasswort zeigt.
  6. Verfahren nach Anspruch 1, das weiterhin aufweist: Überprüfen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher während eines Initialisierungsprozesses, der abläuft, wenn das Computersystem initialisiert wird; als Antwort darauf, dass der Indikator für offensichtliche Manipulation eine Manipulation mit dem Netzwerkadapter während einer vorangegangenen Benutzung des Computersystems anzeigt: Anfordern eines oder mehrerer Einschaltpassworte von dem Benutzer gemäß einer Einschaltpasswort-Vorschrift; Empfangen eines oder mehrerer Passwortantworten von dem Benutzer; Vergleichen der von dem Benutzer empfangenen Passwortantworten mit einem oder mehreren gespeicherten Einschaltpassworten; Beenden des Initialisierungsprozesses und Zulassen, dass der Benutzer auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich eine Übereinstimmung zwischen den Passwortantworten und den gespeicherten Einschaltpassworten zeigt; und Verweigern, dass der Benutzer auf die auf der Festplattegespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich keine Übereinstimmung zwischen einer der Passwortantworten und einem der gespeicherten Einschaltpassworte zeigt.
  7. Verfahren nach Anspruch 6, das weiterhin aufweist: als Antwort darauf, dass der Indikator für offensichtliche Manipulation keine Manipulation mit dem Netzwerkadapter während einer vorangegangenen Benutzung des Computersystems anzeigt: Überprüfen, ob der Netzwerkadapter gegenwärtig in dem Computersystem vorhanden ist; als Antwort darauf, dass die Überprüfung zeigt, dass der Netzwerkadapter in dem Computersystem nicht vorhanden ist: Setzen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher; Lesen der Festplattenpasswort-Vorschrift; auf der Grundlage der Festplattenpasswort-Vorschrift Festlegen eines neuen Festplattenpassworts, wobei das Setzen des Festplattenpassworts das Festplattenpasswort auf das festgelegte neue Festplattenpasswort setzt; Lesen einer Einschaltpasswort-Vorschrift; auf der Grundlage der Einschaltpasswort-Vorschrift, Einrichten eines oder mehrerer Einschaltpassworte, wobei die eingerichteten Einschaltpassworte von dem Benutzer benötigt werden, um dem Benutzer Zugriff auf der Festplatte gespeicherte Dateien zu gestatten; und Auffordern, dass der Benutzer das eine oder die mehreren eingerichteten Einschaltpassworte eingibt.
  8. Informationsverarbeitungssystem, das aufweist: einen oder mehrere Prozessoren; einen Speicher, der zumindest für einen der Prozessoren zugänglich ist; eine nichtflüchtige Speichervorrichtung, die für zumindest einen der Prozessoren zugänglich ist; einen Netzwerkadapter, der zumindest für einen der Prozessoren zugänglich ist und das Informationsverarbeitungssystem mit einem Computernetzwerk verbindet; und einen Satz von Anweisungen, die in einen Speicher geladen und durch den zumindest einen der Prozessoren ausgeführt werden, um die folgenden Aktionen auszuführen: Ermitteln, ob der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt worden ist; und als Antwort darauf, dass ermittelt wird, dass der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt worden ist: Setzen eines Indikators für offensichtliche Manipulation in einem nichtflüchtiger Speicher des Informationsverarbeitungssystems; und Setzen eines Festplattenpassworts gemäß einer Festplattenpasswort-Vorschrift, wobei das Festplattenpasswort auf der Festplatte gespeicherte Dateien schützt.
  9. Informationsverarbeitungssystem nach Anspruch 8, wobei die von zumindest einem der Prozessoren ausgeführten Befehle zusätzliche Aktionen ausführen, umfassend: Setzen eines Einschaltpassworts gemäß einer Einschaltpasswort-Vorschrift, wobei das Einschaltpasswort durch einen Benutzer des Informationsverarbeitungssystems ein gegeben wird, wenn das Informationsverarbeitungssystem initialisiert wird.
  10. Informationsverarbeitungssystem nach Anspruch 9, wobei das Einschaltpasswort auf ein Überwachungspasswort gesetzt wird, und wobei der Netzwerkadapter ein Drahtlosnetzwerkadapter ist.
  11. Informationsverarbeitungssystem nach Anspruch 8, wobei die von zumindest einem der Prozessoren ausgeführten Befehle zusätzliche Aktionen ausführen, umfassend: während das Informationsverarbeitungssystem in Betrieb ist, wiederholtes Überprüfen ob der Netzwerkadapter entfernt worden ist; falls während einer der wiederholten Überprüfungen ermittelt wird, dass der Netzwerkadapter entfernt worden ist: Setzen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher; Lesen der Festplattenpasswort-Vorschrift; auf der Grundlage der Festplattenpasswort-Vorschrift, Festlegen eines neuen Festplattenpassworts, wobei das Setzen des Festplattenpassworts das Festplattenpasswort auf das festgelegte neue Festplattenpasswort setzt; Lesen einer Einschaltpasswort-Vorschrift; auf der Grundlage der Einschaltpasswort-Vorschrift, Festlegen eines neuen Einschaltpassworts, wobei ein Einschaltpasswort, das benutzt wird wenn das Computersystem initialisiert wird auf das festgelegte neue Einschaltpasswort gesetzt wird; und Herunterfahren des Informationsverarbeitungssystems.
  12. Informationsverarbeitungssystem nach Anspruch 11, wobei die von zumindest einem der Prozessoren ausgeführten Befehle zusätzliche Aktionen ausführen, umfassend: nachdem das Informationsverarbeitungssystem heruntergefahren wurde: Neustarten des Informationsverarbeitungssystems durch einen Benutzer; während eines durch das Informationsverarbeitungssystem durchgeführten Initialisierungsprozesses, Anfordern, das der Benutzer das neue Einschaltpasswort eingibt; Empfangen einer Passwortantwort von dem Benutzer; Vergleichen der von dem Benutzer empfangenen Passwortantwort mit dem neuen Einschaltpasswort; Beenden des Initialisierungsprozesses und Zulassen, dass der Benutzer auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich eine Übereinstimmung zwischen der Passwortantwort und dem neuen Einschaltpasswort zeigt; und Verweigern, dass der Benutzer auf die auf der Festplatte gespeicherten Dateien zugreift, als Antwort darauf, dass der Vergleich keine Übereinstimmung zwischen der Passwortantwort und dem neuen Einschaltpasswort zeigt.
  13. Informationsverarbeitungssystem nach Anspruch 8, wobei die von zumindest einem der Prozessoren ausgeführten Befehle zusätzliche Aktionen ausführen, umfassend: Überprüfen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher während eines Initialisierungsprozesses, der abläuft, wenn das Informationsverarbeitungssystem initialisiert wird; als Antwort darauf, dass der Indikator für offensichtliche Manipulation eine Manipulation mit dem Netzwerkadapter während einer vorangegangenen Benutzung des Informationsverarbeitungssystems anzeigt: Anfordern eines oder mehrerer Einschaltpassworte von dem Benutzer gemäß einer Einschaltpasswort-Vorschrift; Empfangen eines oder mehrerer Passwortantworten von dem Benutzer; Vergleichen der von dem Benutzer empfangenen Passwortantworten mit einem oder mehreren gespeicherten Einschaltpassworten; Beenden des Initialisierungsprozesses und Zulassen, dass der Benutzer auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich eine Übereinstimmung zwischen den Passwortantworten und den gespeicherten Einschaltpassworten zeigt; und Verweigern, dass der Benutzer auf die auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich keine Übereinstimmung zwischen einer der Passwortantworten und einem der gespeicherten Einschaltpassworte zeigt.
  14. Informationsverarbeitungssystem nach Anspruch 13, wobei die von zumindest einem der Prozessoren ausgeführten Befehle zusätzliche Aktionen ausführen, umfassend: als Antwort darauf, dass der Indikator für offensichtliche Manipulation keine Manipulation mit dem Netzwerkadapter während einer vorangegangenen Benutzung des Informationsverarbeitungssystems anzeigt: Überprüfen, ob der Netzwerkadapter gegenwärtig in dem Informationsverarbeitungssystem vorhanden ist; als Antwort darauf, dass die Überprüfung zeigt, dass der Netzwerkadapter in dem Informationsverarbeitungssystem nicht vorhanden ist: Setzen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher; Lesen der Festplattenpasswort-Vorschrift; auf der Grundlage der Festplattenpasswort-Vorschrift Festlegen eines neuen Festplattenpassworts, wobei das Setzen des Festplattenpassworts das Festplattenpasswort auf das festgelegte neue Festplattenpasswort setzt; Lesen einer Einschaltpasswort-Vorschrift; auf der Grundlage der Einschaltpasswort-Vorschrift, Einrichten eines oder mehrerer Einschaltpassworte, wobei die eingerichteten Einschaltpassworte von dem Benutzer benötigt werden, um dem Benutzer Zugriff auf der Festplatte gespeicherte Dateien zu gestatten; und Auffordern, dass der Benutzer das eine oder die mehreren eingerichteten Einschaltpassworte eingibt.
  15. Computer-Programmprodukt, das auf einem computerlesbaren Speichermedium gespeichert ist und das bewirkt, dass, wenn es durch ein Informationsverarbeitungssystem ausge führt wird, das Informationsverarbeitungssystem Aktionen ausführt, umfassend: Ermitteln, ob der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt worden ist; und als Antwort darauf, dass ermittelt wird, dass der Netzwerkadapter von dem Informationsverarbeitungssystem entfernt worden ist: Setzen eines Indikators für offensichtliche Manipulation in einem nichtflüchtiger Speicher des Informationsverarbeitungssystems; und Setzen eines Festplattenpassworts gemäß einer Festplattenpasswort-Vorschrift, wobei das Festplattenpasswort auf der Festplatte gespeicherte Dateien schützt.
  16. Computer-Programmprodukt nach Anspruch 15, wobei das Einschaltpasswort auf ein Überwachungspasswort gesetzt wird und wobei der Netzwerkadapter ein Drahtlosnetzwerkadapter ist, weiterhin bewirkend, dass das Informationsverarbeitungssystem Aktionen ausführt, umfassend: Setzen eines Einschaltpassworts gemäß einer Einschaltpasswort-Vorschrift, wobei das Einschaltpasswort durch einen Benutzer des Informationsverarbeitungssystems eingegeben wird, wenn das Informationsverarbeitungssystem initialisiert wird.
  17. Computer Programmprodukt nach Anspruch 15, weiterhin bewirkend, dass das Informationsverarbeitungssystem Aktionen ausführt, umfassend: während das Informationsverarbeitungssystem in Betrieb ist, wiederholtes Überprüfen ob der Netzwerkadapter entfernt worden ist; falls während einer der wiederholten Überprüfungen ermittelt wird, dass der Netzwerkadapter entfernt worden ist: Setzen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher; Lesen der Festplattenpasswort-Vorschrift; auf der Grundlage der Festplattenpasswort-Vorschrift, Festlegen eines neuen Festplattenpassworts, wobei das Setzen des Festplattenpassworts das Festplattenpasswort auf das festgelegte neue Festplattenpasswort setzt; Lesen einer Einschaltpasswort-Vorschrift; auf der Grundlage der Einschaltpasswort-Vorschrift, Festlegen eines neuen Einschaltpassworts, wobei ein Einschaltpasswort, das benutzt wird wenn das Computersystem initialisiert wird auf das festgelegte neue Einschaltpasswort gesetzt wird; und Herunterfahren des Informationsverarbeitungssystems.
  18. Computer Programmprodukt nach Anspruch 17, weiterhin bewirkend, dass das Informationsverarbeitungssystem weitere Aktionen ausführt, umfassend: nachdem das Informationsverarbeitungssystem heruntergefahren wurde: Neustarten des Informationsverarbeitungssystems durch einen Benutzer; während eines durch das Informationsverarbeitungssystem durchgeführten Initialisierungsprozesses, Anfordern, dass der Benutzer das neue Einschaltpasswort eingibt; Empfangen einer Passwortantwort von dem Benutzer; Vergleichen der von dem Benutzer empfangenen Passwortantworten mit dem neuen Einschaltpasswort; Beenden des Initialisierungsprozesses und Zulassen, dass der Benutzer auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich eine Übereinstimmung zwischen der Passwortantwort und dem neuen Einschaltpasswort zeigt; und Verweigern, dass der Benutzer auf die auf der Festplatte gespeicherten Dateien zugreift, als Antwort darauf, dass der Vergleich keine Übereinstimmung zwischen der Passwortantwort und dem neuen Einschaltpasswort zeigt.
  19. Computer Programmprodukt nach Anspruch 15, weiterhin bewirkend, dass das Informationsverarbeitungssystem Aktionen ausführt, umfassend: Überprüfen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher während eines Initialisierungsprozesses, der abläuft, wenn das Informationsverarbeitungssystem initialisiert wird; als Antwort darauf, dass der Indikator für offensichtliche Manipulation eine Manipulation mit dem Netzwerkadapter während einer vorangegangenen Benutzung des Informationsverarbeitungssystems anzeigt: Anfordern eines oder mehrerer Einschaltpassworte von dem Benutzer gemäß einer Einschaltpasswort-Vorschrift; Empfangen eines oder mehrerer Passwortantworten von dem Benutzer; Vergleichen der von dem Benutzer empfangenen Passwortantworten mit einem oder mehreren gespeicherten Einschaltpassworten; Abschließen des Initialisierungsprozesses und Zulassen, dass der Benutzer auf der Festplatte gespeicherte Dateien zugreift, als Antwort darauf, dass der Vergleich eine Übereinstimmung zwischen den Passwortantworten und den gespeicherten Einschaltpassworten zeigt; und Verweigern, dass der Benutzer auf die auf der Festplatte gespeicherten Dateien zugreift, als Antwort darauf, dass der Vergleich keine Übereinstimmung zwischen einer der Passwortantworten und einem der gespeicherten Einschaltpassworte zeigt.
  20. Computer-Programmprodukt nach Anspruch 19, weiterhin bewirkend, dass das Informationsverarbeitungssystem weitere Aktionen ausführt, umfassend: als Antwort darauf, dass der Indikator für offensichtliche Manipulation keine Manipulation mit dem Netzwerkadapter während einer vorangegangenen Benutzung des Informationsverarbeitungssystems anzeigt: Überprüfen, ob der Netzwerkadapter gegenwärtig in dem Informationsverarbeitungssystem vorhanden ist; als Antwort darauf, dass die Überprüfung zeigt, dass der Netzwerkadapter in dem Informationsverarbeitungssystem nicht vorhanden ist: Setzen des Indikators für offensichtliche Manipulation im nichtflüchtigen Speicher; Lesen der Festplattenpasswort-Vorschrift; auf der Grundlage der Festplattenpasswort-Vorschrift Festlegen eines neuen Festplatten passworts, wobei das Setzen des Festplattenpassworts das Festplattenpasswort auf das festgelegte neue Festplattenpasswort setzt; Lesen einer Einschaltpasswort-Vorschrift; auf der Grundlage der Einschaltpasswort-Vorschrift, Einrichten eines oder mehrerer Einschaltpassworte, wobei die eingerichteten Einschaltpassworte von dem Benutzer benötigt werden, um dem Benutzer Zugriff auf der Festplatte gespeicherte Dateien zu gestatten; und Auffordern, dass der Benutzer das eine oder die mehreren eingerichteten Einschaltpassworte eingibt.
DE102009012796A 2008-03-19 2009-03-13 System und Verfahren zum Schützen von Ressourcen, die einen Weitverkehrsnetzanschluss verwenden Pending DE102009012796A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/051,271 US8090962B2 (en) 2008-03-19 2008-03-19 System and method for protecting assets using wide area network connection
US12/051,271 2008-03-19

Publications (1)

Publication Number Publication Date
DE102009012796A1 true DE102009012796A1 (de) 2009-10-01

Family

ID=40527131

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009012796A Pending DE102009012796A1 (de) 2008-03-19 2009-03-13 System und Verfahren zum Schützen von Ressourcen, die einen Weitverkehrsnetzanschluss verwenden

Country Status (4)

Country Link
US (1) US8090962B2 (de)
CN (1) CN101539975B (de)
DE (1) DE102009012796A1 (de)
GB (1) GB2458360B (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102855428B (zh) * 2011-06-30 2016-03-30 联想(北京)有限公司 一种计算机的安全控制方法及该计算机
EP3490214A1 (de) * 2017-11-24 2019-05-29 Gemalto Sa Verfahren zur verwaltung des lebenszyklus von kennungen

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892906A (en) * 1996-07-19 1999-04-06 Chou; Wayne W. Apparatus and method for preventing theft of computer devices
US6418533B2 (en) 1997-08-29 2002-07-09 Compaq Information Technologies Group, L.P. “J” system for securing a portable computer which optionally requires an entry of an invalid power on password (POP), by forcing an entry of a valid POP
US6185688B1 (en) 1998-03-18 2001-02-06 Netschools Corporation Method for controlling security of a computer removably coupled in a network
US6609207B1 (en) * 1999-03-02 2003-08-19 International Business Machines Corporation Data processing system and method for securing a docking station and its portable PC
US6166688A (en) * 1999-03-31 2000-12-26 International Business Machines Corporation Data processing system and method for disabling a portable computer outside an authorized area
US6725379B1 (en) * 1999-08-11 2004-04-20 Dell Products L.P. Stolen computer detection and protection
US20030014660A1 (en) * 2001-04-26 2003-01-16 Christopher Verplaetse PC card security system
US20030120918A1 (en) * 2001-12-21 2003-06-26 Intel Corporation Hard drive security for fast boot
JP2004362366A (ja) * 2003-06-06 2004-12-24 Canon Electronics Inc 情報処理端末、その制御方法、及びその制御プログラム
US20050114710A1 (en) * 2003-11-21 2005-05-26 Finisar Corporation Host bus adapter for secure network devices
JP2005316856A (ja) * 2004-04-30 2005-11-10 Toshiba Corp 情報処理装置、その起動方法およびその起動プログラム
US7742581B2 (en) * 2004-11-24 2010-06-22 Value-Added Communications, Inc. Electronic messaging exchange
CA2496939A1 (en) * 2005-02-08 2006-08-08 Cirond Networks, Inc. Network security method and apparatus
US7809950B2 (en) * 2005-03-02 2010-10-05 Dell Products L.P. System and method for access to a password protected information handling system
JP2006301950A (ja) * 2005-04-20 2006-11-02 Fujitsu Ltd 記憶装置及びその管理モジュール
US7624279B2 (en) * 2005-06-29 2009-11-24 Lenovo Singapore Pte. Ltd. System and method for secure O.S. boot from password-protected HDD
US20070234073A1 (en) * 2006-03-31 2007-10-04 Lenovo (Singapore) Pte. Ltd. Random password automatically generated by bios for securing a data storage device
US7900252B2 (en) * 2006-08-28 2011-03-01 Lenovo (Singapore) Pte. Ltd. Method and apparatus for managing shared passwords on a multi-user computer

Also Published As

Publication number Publication date
CN101539975B (zh) 2012-01-25
CN101539975A (zh) 2009-09-23
US20090241164A1 (en) 2009-09-24
GB2458360B (en) 2010-08-04
GB2458360A (en) 2009-09-23
US8090962B2 (en) 2012-01-03
GB0902186D0 (en) 2009-03-25

Similar Documents

Publication Publication Date Title
DE102007057901B4 (de) Anordnung, Computerprogrammprodukt und Verfahren zur sicheren Aktualisierung von Firmware einer Hardwarevorrichtung unter Verwendung eines Hypervisor
DE112005001739B4 (de) Nachverfolgung geschützter Speicherbereiche zur Beschleunigung von Antivirusprogrammen
DE112005003513B4 (de) Sicherheitschip
US9699216B2 (en) System and method for remotely managing security and configuration of compute devices
DE102009044576A1 (de) Verwaltung von Hardwarepasswörtern
DE102019113352A1 (de) Technologien für sichere e/a mit speicherverschlüsselungs-engines
DE112006001744T5 (de) Manipulationsschutz, um Installation von Betriebssystemen und anderer Software zu beschränken
US20090300717A1 (en) Hardware access and monitoring control
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
DE112005002404T5 (de) Selbstüberwachung und Aktualisierung von Firmware über ein Netzwerk
DE112006001666T5 (de) Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle
DE102017119793A1 (de) Systeme und Verfahren zum Zulassen eines Authentifizierungsversuchs unter Verwendung einer oder mehrerer Authentifizierungsformen
CN101080722A (zh) 用于过滤访问部件核心逻辑的尝试的技术
DE112018004465T5 (de) Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen
DE112007001321T5 (de) Ausführung eines Sichere-Umgebungs-Initialisierungsbefehls in einem Punkt-zu-Punkt-Verbindungssystem
DE112008004006T5 (de) Verfahren und System zum Bereitstellen von Hybrid-Herunterfahr- und schnellen Hochfahr-Prozessen
US20070300299A1 (en) Methods and apparatus to audit a computer in a sequestered partition
US20090222915A1 (en) System and Method for Securely Clearing Secret Data that Remain in a Computer System Memory
CN104969180A (zh) 与来自主机中央处理单元和操作系统的干扰和控制隔离的用户授权和存在检测
DE112011105687T5 (de) Verwendung eines Option-ROM-Speichers
DE102012101876A1 (de) PC Absicherung durch BIOS/(U) EFI Erweiterungen
DE202015009482U1 (de) System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte
DE102020113808A1 (de) Systeme und verfahren zum managen von endpunktsicherheitszuständen unter verwendung passiver datenintegritätsattestationen
DE112017008158T5 (de) Dateienvorababrufeinplanung für cachespeicher zur verringerung von latenzen
DE112015007220T5 (de) Techniken zum Koordinieren von Vorrichtungshochfahrsicherheit

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021000000

Ipc: G06F0021620000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021000000

Ipc: G06F0021620000

Effective date: 20130507

R016 Response to examination communication
R082 Change of representative

Representative=s name: GRUENECKER PATENT- UND RECHTSANWAELTE PARTG MB, DE