RU129674U1 - Компьютер с защитой от несанкционированного доступа - Google Patents

Компьютер с защитой от несанкционированного доступа Download PDF

Info

Publication number
RU129674U1
RU129674U1 RU2013104961/08U RU2013104961U RU129674U1 RU 129674 U1 RU129674 U1 RU 129674U1 RU 2013104961/08 U RU2013104961/08 U RU 2013104961/08U RU 2013104961 U RU2013104961 U RU 2013104961U RU 129674 U1 RU129674 U1 RU 129674U1
Authority
RU
Russia
Prior art keywords
computer
uefi
unauthorized access
security module
protection against
Prior art date
Application number
RU2013104961/08U
Other languages
English (en)
Original Assignee
Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" filed Critical Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС"
Priority to RU2013104961/08U priority Critical patent/RU129674U1/ru
Application granted granted Critical
Publication of RU129674U1 publication Critical patent/RU129674U1/ru

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

1. Компьютер с защитой от несанкционированного доступа, содержащий системную шину, модуль памяти, содержащий UEFI, при этом модуль памяти содержит раздел для хранения данных модуля безопасности, a UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля безопасности, который позволяет запускать:по меньшей мере один внешний модуль безопасности, подключаемый к системной шине компьютера и/или,либо средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине компьютера и/или,либо средство для передачи управления UEFI для дальнейшей загрузки компьютера.2. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что модуль безопасности представляет собой автоматически запускающуюся по меньшей мере одну программу: антивируса, авторизации, или иную программу, осуществляющую защиту компьютера от несанкционированного доступа.3. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что по меньшей мере один, внешний модуль безопасности представляет собой обновляемую программу: антивируса, антишпиона, авторизации, или иную программу, осуществляющую защиту компьютера от несанкционированного доступа.4. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что идентифицирующее устройство представляет собой внешний физический носитель в виде пластиковой карты со встроенной микросхемой - SmartCard или USB Token.

Description

Предлагаемая полезная модель относится к компьютеру, защищаемому от вредоносных программ и несанкционированного доступа к нему посторонних лиц на ранней стадии загрузки.
В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.
Наиболее близким техническим решением является RU 119910 U1, от 27.08.2012, в котором описан компьютер с защитой от несанкционированного доступа в BIOS. Данное устройство содержит системную шину, базовую систему ввода/вывода (BIOS) и встраиваемый модуль безопасности, подключенный к BIOS. Причем BIOS настроен так, что сразу после выполнения прохождения процедуры Power On Self-Test (POST) он осуществляет запуск встраиваемого модуля безопасности. При этом модуль безопасности содержит средство для блокировки доступа к настройкам BIOS всем, кроме авторизированных администраторов модуля безопасности, средство для аутентификации пользователя/администратора модуля безопасности, причем аутентификация пользователя/администратора производится с помощью идентифицирующего устройства (ИУ), подключаемого к системной шине ПЭВМ, средство для передачи управления BIOS для дальнейшей загрузки компьютера после аутентификации пользователя/администратора.. Однако данные средства защиты не достаточно эффективно защищают компьютер от вредоносных программ.
Предлагаемое техническое решение направлено на создание компьютера, защищаемого в UEFI на ранней стадии загрузки компьютера.
Задачи, которые позволяет решить предлагаемая полезная модель:
1) Возможность гарантированно запускать внешние модули (приложения - антивирусы, авторизация, защита, или иные программные средства, направленные на защиту от несанкционированного доступа) до запуска основной операционной системы (ОС) в безопасной среде, не подверженной изменениям и влиянию со стороны любых иных программ.
2) Нет необходимости менять UEFI при добавлении, обновлении, удалении и конфигурировании внешних модулей.
3) Модули для данной оболочки могут разрабатываться сторонними производителями (например, различными изготовителями антивирусов) в едином унифицированном стиле и интерфейсе для потребителя - т.е. возможность использовать комплекс как некий «конструктор» различных вариантов процесса безопасной загрузки компьютера (ЭВМ).
Технический результат предлагаемого технического решения - повышение безопасности компьютера, путем проведения авторизации и защиты до момента запуска на устройстве программных сред, потенциально способных осуществить вредоносные действия и повлиять на процесс работы компьютера.
Технический результат достигается тем, что компьютер с защитой от несанкционированного доступа в UEFI, содержит системную шину, модуль памяти, содержащий UEFI, при этом модуль памяти содержит раздел для хранения данных модуля безопасности. UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля безопасности, который позволяет запускать:
- по меньшей мере один, внешний модуль безопасности до запуска основной ОС в безопасной среде, не подверженной изменениям со стороны любых иных программ и/или,
- либо средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине ПЭВМ и/или,
- либо средство для передачи управления UEFI для дальнейшей загрузки компьютера после аутентификации.
Предпочтительно, чтобы модуль безопасности представлял собой автоматически запускающуюся, по меньшей мере одну программу: антивируса, "антишпиона", авторизации, или иную программу, осуществляющую защиту компьютера.
Кроме того, по меньшей мере, один внешний модуль безопасности может представлять собой обновляемую программу: антивируса, антишпиона, авторизации, или иную программу, осуществляющую защиту компьютера.
Идентифицирующее устройство может представлять собой внешний физический носитель, в виде пластиковой карты со встроенной микросхемой - SmartCard или USB Token.
На фиг.1 показана схема защиты компьютера с защитой от несанкционированного доступа.
Рассмотрим работу предлагаемого устройства компьютера с защитой от несанкционированного доступа. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того в микросхеме FLASH содержится раздел для хранения данных модуля безопасности. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Кроме того в материнской плате компьютера могут быть предусмотрены интерфейсы (разъемы) для подключения к ее системной шине, по меньшей мере одного, внешнего физического модуля SmartCard и/или USB Token.
Работа предлагаемого устройства компьютера с защитой от несанкционированного доступа осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов - DXE, запускается модуль безопасности. Модуль безопасности представляет собой последовательно автоматически запускающуюся, по меньшей мере, одну программу, желательно авторизации (могут запускаться программы авторизации и антивируса и др. программы). Последовательность программ может быть иная, и программы могут варьироваться, т.е. могут предварительно в раздел для хранения данных микросхемы FLASH сохраняться любые программы, осуществляющую защиту компьютера от несанкционированного доступа. При этом ход выполнения, по меньшей мере, одной программы на экране монитора сопровождается различным графическим и/или текстовым оформлением.
Кроме того, после выполнения программы авторизации на экран монитора выводится список, позволяющий пользователю:
- дополнительно запустить программу из, по меньшей мере, одного внешнего модуля безопасности, подключаемого к системной шине компьютера до запуска основной ОС в безопасной среде, не подверженной изменениям со стороны любых иных программ, например, можно запустить с внешнего USB носителя, дополнительный антивирус, либо запустить средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине ПЭВМ, т.е. пользователю предлагается подключить к компьютеру внешний физический модуль, предпочтительно SmartCard или USB Token идентифицирующий его на данном компьютере, либо продолжить загрузку ОС компьютера, т.е. запустить средство для передачи управления UEFI для дальнейшей загрузки компьютера.
По существу модуль безопасности представляет собой программную оболочку.
Процедура работы оболочки модуля безопасности:
- запуск самой оболочки,
- загрузка конфигурационных файлов настроек оболочки,
- проверку контрольных сумм модулей безопасности и дополнительных драйверов.
- последовательная загрузка и исполнение, по меньшей мере, одного модуля безопасности, например, идентификации пользователя введением пароля,
- загрузка основного интерфейса оболочки,
- формирование интерфейса в виде списка из 2-х пунктов: 1 - строки запуска программы, например антивируса, с внешнего носителя, подключаемого к системной шине компьютера, либо 2 - строки запуска средства аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине компьютера и либо 2 - строки подразумевающей дальнейшую загрузку ОС, т.е. передающую управление UEFI для дальнейшей загрузки компьютером ОС.
В случае запуска строки 1, пользователю предлагается подключить внешний носитель, например содержащий антивирус иного производителя. После чего компьютер выполняет данную программу антивируса иного производителя. После завершения работы антивируса иного производителя пользователь сразу перенаправляется к действию указанному в строке 2.
В случае запуска строки 2 средства аутентификации пользователя с помощью идентифицирующего устройства, пользователю предлагается подключение внешнего физического модуля к соответствующему интерфейсу материнской платы. После чего компьютер выполняет программу авторизации, осуществляющую сравнение сохраненной в UEFI информации о пользователе (данная информация предварительно записывается в UEFI материнской платы) с информацией, сохраненной на внешнем физическом модуле, например, USB Token, при положительном результате сравнения (информация в USB Token присутствует в UEFI) осуществляется загрузка операционной системы компьютера, при отрицательном результате сравнения (информация в USB Token отсутствует в UEFI) осуществляется вывод информационного сообщения, например, «доступ запрещен», и затем отключение питания компьютера, в случае, когда пользователем в длительный промежуток времени (например, более 30 сек.) не осуществляется подключение внешнего физического модуля, осуществляется отключение питания компьютера,
После завершения сравнение сохраненной в UEFI информации о пользователе с информацией сохраненной на внешним физическом модуле устанавливается региональная (раздела(ов) UEFI, где хранится информации о пользователе и программа авторизации) защита микросхемы FLASH от чтения и записи с целью невозможности изменения информации о пользователе или блокирования программы авторизации.
При этом информация, идентифицирующая пользователя, может записываться в физический модуль, предпочтительно SmartCard или USB Token и в UEFI, при изготовлении материнской платы, т.е. в комплекте с материнской платой находится комплект физических модулей, осуществляющих идентификацию пользователей.
Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники, очевидно, что на основе раскрытых данных можно создать вариации защиты компьютера при аутентификации пользователей в UEFI, например, применяя отличные, от раскрытых выше, комбинаций защиты. Таким образом, объем полезной модели не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле полезной модели.

Claims (4)

1. Компьютер с защитой от несанкционированного доступа, содержащий системную шину, модуль памяти, содержащий UEFI, при этом модуль памяти содержит раздел для хранения данных модуля безопасности, a UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля безопасности, который позволяет запускать:
по меньшей мере один внешний модуль безопасности, подключаемый к системной шине компьютера и/или,
либо средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине компьютера и/или,
либо средство для передачи управления UEFI для дальнейшей загрузки компьютера.
2. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что модуль безопасности представляет собой автоматически запускающуюся по меньшей мере одну программу: антивируса, авторизации, или иную программу, осуществляющую защиту компьютера от несанкционированного доступа.
3. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что по меньшей мере один, внешний модуль безопасности представляет собой обновляемую программу: антивируса, антишпиона, авторизации, или иную программу, осуществляющую защиту компьютера от несанкционированного доступа.
4. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что идентифицирующее устройство представляет собой внешний физический носитель в виде пластиковой карты со встроенной микросхемой - SmartCard или USB Token.
Figure 00000001
RU2013104961/08U 2013-02-06 2013-02-06 Компьютер с защитой от несанкционированного доступа RU129674U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013104961/08U RU129674U1 (ru) 2013-02-06 2013-02-06 Компьютер с защитой от несанкционированного доступа

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013104961/08U RU129674U1 (ru) 2013-02-06 2013-02-06 Компьютер с защитой от несанкционированного доступа

Publications (1)

Publication Number Publication Date
RU129674U1 true RU129674U1 (ru) 2013-06-27

Family

ID=48702907

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013104961/08U RU129674U1 (ru) 2013-02-06 2013-02-06 Компьютер с защитой от несанкционированного доступа

Country Status (1)

Country Link
RU (1) RU129674U1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2583714C2 (ru) * 2013-12-27 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы
RU2666618C1 (ru) * 2017-04-07 2018-09-11 Валерий Аркадьевич Конявский Компьютер для работы в доверенной вычислительной среде
RU2789614C1 (ru) * 2021-11-22 2023-02-06 Акционерное Общество "Крафтвэй Корпорэйшн Плс" Устройство защиты UEFI BIOS от несанкционированных изменений.

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2583714C2 (ru) * 2013-12-27 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы
RU2666618C1 (ru) * 2017-04-07 2018-09-11 Валерий Аркадьевич Конявский Компьютер для работы в доверенной вычислительной среде
RU2789614C1 (ru) * 2021-11-22 2023-02-06 Акционерное Общество "Крафтвэй Корпорэйшн Плс" Устройство защиты UEFI BIOS от несанкционированных изменений.

Similar Documents

Publication Publication Date Title
US10311236B2 (en) Secure system memory training
CN103718165B (zh) Bios闪存攻击保护和通知
KR101931007B1 (ko) 컴퓨팅 디바이스의 초기화 트레이스
US9600291B1 (en) Secure boot using a field programmable gate array (FPGA)
JP5889933B2 (ja) コンピュータの動作不良を防止する方法、コンピュータ・プログラムおよびコンピュータ
US8312534B2 (en) System and method for securely clearing secret data that remain in a computer system memory
CN107665308B (zh) 用于构建和保持可信运行环境的tpcm系统以及相应方法
BR112014014815B1 (pt) Dispositivo de computação, método e meio de armazenamento para realização de cópia de segurança de firmware
WO2015057891A1 (en) Multi-threaded low-level startup for system boot efficiency
US9703725B2 (en) System and method for providing kernel intrusion prevention and notification
US9286468B2 (en) Option read-only memory use
WO2014175866A1 (en) Retrieving system boot code from a non-volatile memory
US8844060B2 (en) Method and system for USB with an integrated crypto ignition key
EP3048550B1 (en) Measurement method, electronic device and measurement system
US20030084307A1 (en) Secure boot device selection method and system
JP2014010492A (ja) 情報処理装置および起動制御方法
RU129674U1 (ru) Компьютер с защитой от несанкционированного доступа
US10198270B2 (en) Dynamic hardware configuration via firmware interface at computing device boot
US10146943B2 (en) System and method to disable the erasure of an administrator password in an information handling system
KR20220070462A (ko) 부트로더를 위한 보안 버퍼
RU129675U1 (ru) Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера
RU154304U1 (ru) Компьютер с защищенным хранилищем данных
RU2538286C2 (ru) Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
RU129278U1 (ru) Компьютер с антивирусной защитой в uefi на ранней стадии загрузки
RU2537814C9 (ru) Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера