ComputerBase Menü
Aktuelles

BIOS Passwort Vor & Nachteile

  • Ersteller Ersteller Yuki0711
  • Erstellt am Erstellt am
Y

Yuki0711

Gast
Hallo zusammen,

ich mache mir gerade darüber Gedanken, ob es einen Mehrwehrt bringt im Firmenumfeld die PCs & Notebooks mit einem BIOS Passwort zu Versehen.

Hintergrund:
Ich möchte die BIOS Einstellungen schützen mehr eigentlich nicht. Einen Mehrwert an Sicherheit habe ich eigentlich nicht?

Beste Grüße
Euer Yuki
 
Solange das Passwort dann auch noch in 5 Jahre bekannt ist und nicht verloren geht, wenn du versehentlich vom Bus überfahren wirst, spricht eigentlich nichts dagegen. Es stellt sich natürlich die Frage, was im UEFI überhaupt verstellt werden kann, was nicht sein sollte.

Und bei Abgabe der Geräte, entfernt die Passwörter, sofern sie nicht verschrottet werden sollen.
 
Wie groß ist der Anteil derer, die im Bios rumspielen? Und wie groß ist der Aufwand alle mit Passwort zu versehen? Und wie groß ist der nutzen für dich?

Gerade bei Notebooks und OEM Desktops ist doch eigentlich alles sehr eingeschränkt, was will man hier verstellen. Außer du betreust gerade Rechner bei einer Bank.
 
Zuletzt bearbeitet:
Kann (!) schon sinnvoll sein, je nach dem welches Klientel sich den PCs bedient und auch wie viele davon es gibt.

Wir haben unsere Clients mit einem BIOS-Passwort versehen, da gibt's nämlich durchaus einige Dinge womit unsere Studierenden Quatsch verzapfen könnten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Conqi
Mitarbeiter werden manchmal durchaus kreativ, was das Booten von eigenen Medien, Secure Boot, TPM und ähnliche Geschichten angeht. Die Minute pro PC, um ein BIOS Passwort zu setzen, kann da gut investiert sein.

An sich spricht abseits vom Aufwand auch nichts dagegen. Muss halt nur gut dokumentiert werden.
 
  • Gefällt mir
Reaktionen: Azdak und Drewkev
Wenn ihr in einem Firmenumfeld mit AD arbeitet, dann sehe ich ein BIOS-Passwort als "mandatory" an.
Je nachdem wie die BIOS-Einstellungen gesetzt sind, kann man mittels dem Passwort verhindern, dass Angestellte oder Angreifer/Diebe von USB-Sticks booten und versuchen, die Festplatte auszulesen oder ein Bootkit im UEFI installieren, welches ein ggf. vorhandenes secureboot umgeht und damit Tür und Tor zur Domäne öffnet.

Das Passwort braucht man dann eigentlich nur erneut, wenn man den Client per PXE neu bedampfen möchte.

Aber Angestellte haben im BIOS nichts verloren. Wer im BIOS ist, hat root-Rechte.
 
  • Gefällt mir
Reaktionen: Conqi
scooter010 schrieb:
Festplatte auszulesen
Zum Vergrößern anklicken....
Dann baue ich sie eben aus und schließe sie über USB an ;)

Ich würde sagen die Daten welche auf den PC sind hat der Mitarbeiter
 
Ich gebe zu bedenken das ein Bios-Passwort alleine erstmal nichts an Sicherheit bringt solange es möglich ist das Bios zu resetten.
Da es auch nach einem Bios-Reset idr. problemlos möglich ist per Secure-Boot etc. zu starten sollte dafür gesorgt werden das ein Reset nicht (so einfach) möglich ist. Ein entsprechend verstärktes Case das sich nicht (einfach so) öffnen läßt oder gar ein unzugänglich machen der Reset-Pins + Verklebung (oder ähnliches) der Bios Batterie sind auch Möglichkeiten (die aber oft Irreversibel sind).
 
SpamBot schrieb:
Dann baue ich sie eben aus und schließe sie über USB an
Zum Vergrößern anklicken....
Das funktioniert bei BitLocker (was im Firmenumfeld Standard sein sollte) aber nicht. Das geht nur unter Umgehung von secureboot.
Ergänzung ()

NatokWa schrieb:
es möglich ist das Bios zu resetten.
Zum Vergrößern anklicken....
Jein. Viele Hersteller speichern das BIOS-Passwort nicht mehr im flüchtigen Teil des EEPROM. Es ist also nicht resetbar. Aus genau diesem Grund.
Weiterhin lässt sich eine solche Manipulation zumindest im Rahmen von Audits einfach nachweisen (Aufkleber auf Schrauben), was viele davon abhalten dürfte "einfach mal ein Linux oder anderen Windows zu booten", weil man da mehr Sachen machen kann.
 
  • Gefällt mir
Reaktionen: Azdak und Conqi
Drewkev schrieb:
Wir mussten deshalb schonmal einen All-in-One entsorgen.
Zum Vergrößern anklicken....
Uff ... da hätte wahrscheinlich ein Austausch-Bios CHip schon helfen können ....natürlich vorrausgesetzt das der gesockelt war was leider nicht immer der Fall ist ....
 
scooter010 schrieb:
funktioniert bei BitLocker (was im Firmenumfeld Standard sein sollte) aber nicht.
Zum Vergrößern anklicken....
Ich dachte über mein Passwort kann ich es wieder entschlüsseln? Bin mir aber nicht sicher
 
Ne, nur mit dem BitLocker RecoveryKey. Und den sollte der Admin haben, nicht der Nutzer.

Edit: Der RecoveryKey kann in der MS-Cloud abgelegt werden, wo man als Nutzer natürlich über sein Passwort Ran kommt. Da kommt es natürlich auf die Details an. Wo hat die IT das Passwort hinterlegt? Hoffentlich nicht in MS Account des Nutzers.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: SpamBot
Yuki0711 schrieb:
ich mache mir gerade darüber Gedanken, ob es einen Mehrwehrt bringt im Firmenumfeld die PCs & Notebooks mit einem BIOS Passwort zu Versehen.
Zum Vergrößern anklicken....
Na klar bringt das einen Mehrwert. Ich habe keinen Bock das ständig andere Leute im BIOS was rumfuschen können. Ist für mich aber auch zu Hause Standard. Da überlege Ich nicht und setze direkt ein PW wenn ich an dem Gerät arbeite oder verwalte.
 
Die Clients sind ja zusätzlich noch mit einer Verschlüsselung "Bitlocker" geschützt, sodass das auslesen erstmal mit Hürden verbarrikadiert ist.

Es gab schon den einen oder anderen (macht vielleicht 1% von allen) aus, der sich im BIOS was verstellt hat und daher habe ich mir überlegt, ob es nicht Sinn macht künftig alle Clients mit einem zusätzlichen Zugangsschutz zu versehen.

Das Problem was ich jetzt eher darin sehe ist, wenn man beispielsweise Mitarbeiter im Außendienst hat. Mal angenommen, ihr löst ein Service Fall aus und Lenovo oder Dell oder HP senden ihre Techniker zum Außendienst und der muss an das BIOS ran oder das Board tauschen what ever - dann ist das ganze Konstrukt auch wieder obsolet?
 
scooter010 schrieb:
Jein. Viele Hersteller speichern das BIOS-Passwort nicht mehr im flüchtigen Teil des EEPROM. Es ist also nicht resetbar. Aus genau diesem Grund.
Zum Vergrößern anklicken....
Um das noch etwas zu ergänzen: manche Hersteller bieten einem da auch die Wahl. Bei meinem zum Homeserver umfunktionierten HP Elitedesk zum Beispiel konnte ich das BIOS Passwort entfernen. Man kann aber auch die Option setzen, dass das Passwort nicht entfernbar ist.

Yuki0711 schrieb:
dann ist das ganze Konstrukt auch wieder obsolet?
Zum Vergrößern anklicken....
Wieso? Dann teilt man dem Servicetechniker das BIOS-Passwort halt mit telefonisch. Das erleben die andauernd. Der Mitarbeiter muss das Passwort dafür nicht erfahren.
Wenn das ganze Board getauscht wird, sieht das anders aus, aber dann kommt das Passwort halt beim nächsten Besuch in der Firma wieder drauf.
 
scooter010 schrieb:
Das Passwort braucht man dann eigentlich nur erneut, wenn man den Client per PXE neu bedampfen möchte.
Zum Vergrößern anklicken....
Braucht man da echt das BIOS Passwort dazu? Kenne ich zumindest nicht so. Außer die Funktion fürs Netzwerkbooten wurde absichtlich im BIOS deaktivert

Ich würde ein BIOS Passwort definitiv setzen. Was ist wenn du einen Mitarbeiter hast, der dir ein BIOS Passwort setzt? Da hast dann erst recht den Ärger, wenn du oder der Servicetechniker was umstellen möchte und keiner kennt das Passwort.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Bios Passwort löschen und verschiedenes
2
Antworten
25
Aufrufe
1.661
Steiner111
S
D
HP Tablet Elite x2 G4 - Bios Passwortgeschützt, Nachteile?
Antworten
15
Aufrufe
2.084
@mo
@
B
Bios Passwort Nutzen
Antworten
6
Aufrufe
1.353
PC295
PC295
M
BIOS Passwort HP Elitebook hsn104c
2
Antworten
33
Aufrufe
2.807
Bohnenhans
B
M
Reset BIOS Passwort Lenovo MIIX 510
Antworten
12
Aufrufe
4.010
MTGL
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz