DE10248465A1 - System und Verfahren zum Sichern eines Computers - Google Patents

System und Verfahren zum Sichern eines Computers

Info

Publication number
DE10248465A1
DE10248465A1 DE10248465A DE10248465A DE10248465A1 DE 10248465 A1 DE10248465 A1 DE 10248465A1 DE 10248465 A DE10248465 A DE 10248465A DE 10248465 A DE10248465 A DE 10248465A DE 10248465 A1 DE10248465 A1 DE 10248465A1
Authority
DE
Germany
Prior art keywords
identifier
drive device
stored
memory
bios
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10248465A
Other languages
English (en)
Inventor
Jeffrey D Schwartz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE10248465A1 publication Critical patent/DE10248465A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

Ein Computersicherheitssystem weist eine Hauptplatine auf, die einen Prozessor und einen Speicher aufweist. Das System weist ferner eine Laufwerkvorrichtung auf, die einen zugewiesenen Identifizierer aufweist und mit der Hauptplatine gekoppelt ist. Das System weist ferner ein Grundeingabe-/Ausgabesystem (BIOS) auf, das durch den Prozessor ausführbar ist und angepaßt ist, um den zugewiesenen Identifizierer der Laufwerkvorrichtung mit einem Identifizierer zu vergleichen, der in dem Speicher gespeichert ist, und die Hauptplatine zu booten, wenn der zugewiesene Identifizierer dem gespeicherten Identifizierer entspricht.

Description

  • Diese Patentanmeldung bezieht sich auf die anhängigen, auf die Anmelderin der vorliegenden Anmeldung übertragenen U.S.-Patentanmeldungen mit dem Titel "APPLIANCE SECURITY MODEL SYSTEM AND METHOD", eingereicht am 30. Oktober 2001, und mit dem Titel "SECURE BOOT DEVICE SELECTION METHOD AND SYSTEM", eingereicht am 30. Oktober 2001.
  • Die vorliegende Erfindung bezieht sich allgemein auf den Bereich von Computerbearbeitungssystemen und insbesondere auf ein System und ein Verfahren zum Sichern eines Computers.
  • Das Sichern der Konfiguration und der Daten von Computersystemen bleibt ein wichtiger Punkt sowohl für System- Benutzer als auch -Hersteller. Computersysteme weisen allgemein eine Hauptplatine auf, die einen Prozessor, einen Speicher und andere Funktionskomponenten aufweist. Das System weist ferner allgemein eine Festplatte zum Speichern von Daten auf, wie z. B. Textverarbeitungsdokumenten, Audiodateien, Videodateien und anderen Typen von Daten. Sicherheitssysteme schränken im allgemeinen den Zugriff zu den Daten ein, so daß nur autorisierte Benutzer geschützte Daten öffnen oder betrachten können. Paßwörter oder andere vom Benutzer bereitgestellte Sicherheitscodes können zum Beispiel verwendet werden, um die Daten vor unautorisiertem Zugriff zu schützen.
  • Da Computersysteme immer höher entwickelt werden, wurden die Systeme mit BIOS- (Grundeingabe-/Ausgabesystem) basierten Paßwörtern ausgerüstet. Ein BIOS-basiertes Paßwortprogramm läuft, bevor die Steuerung des Computers an eine laufwerkbasierte Softwareanwendung gegeben wird. Der Zugriff auf Daten, die auf der Festplatte enthalten sind, erfordert üblicherweise BIOS-basierte Verschlüsselungsschlüssel und/oder Paßwörter. Somit wird durch Entfernen der Festplatte und Verbinden der Festplatte mit einem anderen Verarbeitungssystem der Zugriff auf die Festplatte im wesentlichen verhindert. Wenn jedoch die BIOS-basierten Verschlüsselungsschlüssel und/oder Paßwörter kopiert oder aus dem BIOS durch einen unautorisierten Benutzer wiedergewonnen werden, kann der Zugriff auf die Festplatte durch den unautorisierten Benutzer möglich sein. Zusätzlich dazu führen Benutzermodifikationen an dem System oft zu unvorhersehbaren Wartungs- und Fehlerfindungs-Fragen.
  • Es ist die Aufgabe der vorliegende Erfindung, ein Computersicherheitssystem und ein Verfahren zum Sichern eines Computersystems zu schaffen, um einen unerlaubten Zugriff auf Laufwerke zu unterbinden.
  • Diese Aufgabe wird durch ein Computersicherheitssystem gemäß Anspruch 1 und ein Verfahren zum Sichern eines Computersystems gemäß Anspruch 11 oder 18 gelöst.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist ein Computersicherheitssystem eine Hauptplatine auf, die einen Prozessor und einen Speicher aufweist. Das System weist ferner eine Laufwerkvorrichtung auf, die einen zugewiesenen Identifizierer aufweist und mit der Hauptplatine gekoppelt ist. Das System weist ferner ein Grundeingabe- /Ausgabesystem (BIOS = basic input/output system) auf, das durch den Prozessor ausführbar ist. Das BIOS ist angepaßt, um den zugewiesenen Identifizierer mit einem Identifizierer zu vergleichen, der in dem Speicher gespeichert ist, und die Laufwerkvorrichtung zu booten, wenn der zugewiesene Identifizierer dem gespeicherten Identifizierer entspricht.
  • Gemäß einem anderen Ausführungsbeispiel der vorliegenden Erfindung weist ein Verfahren zum Sichern eines Computersystems das automatische Abfragen einer Laufwerkvorrichtung auf, um einen zugewiesenen Identifizierer zu bestimmen, der der Laufwerkvorrichtung zugeordnet ist. Das Verfahren weist ferner das Vergleichen des zugewiesenen Identifizierers mit einem Identifizierer auf, der in einem Speicher einer Hauptplatine gespeichert ist. Das Verfahren weist ferner das Booten der Laufwerkvorrichtung auf, wenn der zugewiesene Identifizierer dem gespeicherten Identifizierer entspricht.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend, Bezug nehmend auf die beiliegenden Zeichnungen, näher erläutert. Es zeigen:
  • Fig. 1 ein Diagramm, das ein Computersicherheitssystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt;
  • Fig. 2 ein Flußdiagramm, das ein Verfahren zum Sichern eines Computersystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt.
  • Die bevorzugten Ausführungsbeispiele der vorliegenden Erfindung und die Vorteile derselben werden am besten Bezug nehmend auf die Fig. 1 und 2 der Zeichnungen verständlich, worin gleiche Bezugszeichen für gleiche und entsprechende Teile der verschiedenen Zeichnungen verwendet werden.
  • Fig. 1 ist ein Diagramm, das ein Computersicherheitssystem 10 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt. In Fig. 1 ist eine Konfiguration von verschiedenen computerverwandten Komponenten dargestellt, die in einer repräsentativen Computer-Typ-Vorrichtung angetroffen werden. Es können jedoch viele andere, repräsentative Konfigurationen existieren. Bei dem dargestellten Ausführungsbeispiel weist das System 10 eine Interneteinrichtung 12 auf, wie z. B. eine Handhalte- oder stationäre Vorrichtung zum Zugreifen auf das Internet; die vorliegende Erfindung kann jedoch ferner mit anderen Vorrichtungen verwendet werden, die ohne Einschränkung Desktop-PCs, Notebookcomputer, persönliche digitale Assistenten und jegliche andere Verarbeitungsvorrichtungen umfassen, die ein Grundeingabe- /Ausgabesystem (BIOS) oder ein äquivalentes System aufweisen.
  • Die Vorrichtung 12, die in Fig. 1 dargestellt ist, weist eine Hauptplatine 14 auf, die mit einer Laufwerkvorrichtung 15 gekoppelt ist. Bei dem dargestellten Ausführungsbeispiel weist die Laufwerkvorrichtung 15 ein Festplattenlaufwerk 16 auf. Es sollte jedoch darauf hingewiesen werden, daß andere Typen von Laufwerkvorrichtungen 15 mit der Hauptplatine 14 gekoppelt sein können, einschließlich aber nicht beschränkt auf Diskettenlaufwerke, Magnetbandlaufwerke, Flash- Speicher-Laufwerke und Optisches-Medium-Laufwerke. Die Laufwerkvorrichtung 15 ist mit der Hauptplatine 14 in dem dargestellten Ausführungsbeispiel über einen IDE/ATAPI-Bus 16 (IDE/ATAPI = integrated device electronics/advanced technology attachment packet interface) zum Lesen oder Speichern von Daten gekoppelt, die der Laufwerkvorrichtung 15 entsprechen. Die Festplatte 16 kann z. B. ein Betriebssystem und verschiedene andere Anwendungs-Module oder -Routinen aufweisen.
  • Bei dem dargestellten Ausführungsbeispiel weist die Hauptplatine 14 einen Prozessor 22, einen Direktzugriffsspeicher (RAM = random access memory) 24 und ein Grundeingabe- /Ausgabesystem (BIOS) 26 auf. Das BIOS 26 ist vorzugsweise in einem Flash-Speicher implementiert und weist ein Leistung-Ein-Selbsttestmodul 28 zum Durchführen von Systeminitialisierung und Tests auf. Die Hauptplatine 14 weist ferner eine Festplattensteuerung 30 zum schnittstellenmäßigen Verbinden mit der Festplatte 16 auf. Eingabe-/Ausgabe- Vorrichtungen, wie z. B. aber nicht ausschließlich eine Maus, Tastatur, Anzeigevorrichtung, Scanner oder Drucker (nicht ausdrücklich gezeigt), kommunizieren mit der Hauptplatine 14 über einen Schnittstellenchipsatz 32. Der Schnittstellenchipsatz 32 kann z. B. mit den verschiedenen Eingabe-/Ausgabe-Vorrichtungen über ein paralleles Tor 34, ein serielles Tor 36, ein Video-Tor 38 und einen universellen, seriellen Bus (USB) 40 kommunizieren. Die Hauptplatine 14, die in Fig. 1 dargestellt ist, weist ferner einen Sicherheitsspeicher 42 auf, der vorzugsweise als ein Flash- Speicher implementiert ist, der eine Vielzahl von Typen von Sicherheitsinformationen aufweist, die dem System 10 zugeordnet sind und über einen seriellen Bus 43 zugreifbar sind.
  • Kurz ausgedrückt ist ein Identifizierer 44, wie z. B. eine Seriennummer, ein Paßwort oder ein anderer Typ von Identifikationsnummer und/oder Code, der der Festplatte 16 zugeordnet ist, in dem Speicher 42 als ein Identifizierer 46 gespeichert. Der Identifizierer 46 kann in den Speicher 42 vorprogrammiert werden, oder der Identifizierer 46 kann aus der Festplatte 16 wiedergewonnen und in den Speicher 42 während einer ersten Bootoperation des Systems 10 gespeichert werden. Während der Ausführung des Leistung-Ein- Selbsttestmoduls 28 vergleicht das BIOS 26 den Identifizierer 46 mit dem Identifizierer 44 der Festplatte 16, um die Konfiguration des Systems 10 zu verifizieren. Wenn die Identifizierer 44 und 46 übereinstimmen, springt das BIOS 26 weiter, um die Festplatte 16 zu booten und z. B. ein Betriebssystem oder eine andere Softwareanwendung zu laden. Wenn die Identifizierer 44 und 46 nicht übereinstimmen, bootet das BIOS 26 die Festplatte 16 nicht, wodurch die Hauptplatine 14 in einer "verriegelten" Konfiguration beibehalten wird. Dementsprechend ist die Hauptplatine 14, die den Identifizierer 46 speichert, an der Festplatte 16 "verriegelt", die den Identifizierer 44 aufweist, derart, daß die vorbestimmte Konfiguration der Hauptplatine 14 und der Festplatte 16 ein betriebssicheres System 10 beibehält. Im Betrieb beginnt die Aktivierung des Systems 10 vorzugsweise, wenn der Prozessor 42 die Rücksetzstufe verläßt und bei Adresse 0 mit dem Betrieb beginnt. Bei Adresse 0 greift der Prozessor 22 auf das BIOS 26 zu und schattenspeichert die Befehle des BIOS, wie z. B. das Leistung-Ein- Selbsttestmodul 28 in den RAM 24. Der Prozessor 22 führt dann das Leistung-Ein-Selbsttestmodul 28 aus dem RAM 24 aus. Während der Ausführung des Leistung-Ein- Selbsttestmoduls 28 beginnt der Prozessor 22 zu versuchen, die Laufwerkspeicherungsvorrichtungen zum Booten eines Betriebssystems zu booten. Während der Ausführung des Leistung-Ein-Selbsttestmoduls 28 kann z. B. eine Liste von verfügbaren Laufwerkvorrichtungen, die mit der Hauptplatine 14 gekoppelt sind, kompiliert werden. Obwohl jede Laufwerkvorrichtung ein unterschiedliches Betriebssystem aufweist, wobei jedes zum Booten in der Lage ist, können im allgemeinen nur die Laufwerkvorrichtungen in der Bootbares- Laufwerk-Liste, die durch das BIOS 26 beibehalten wird, die eine Standardeinstellung aufweisen und vom Benutzer konfigurierbar sind, zum Booten ausgewählt werden. Dementsprechend versucht das System 10 im allgemeinen, die Laufwerkvorrichtungen in der Reihenfolge zu booten, die auf der Liste erscheint; es können jedoch auch Parameter in dem 26 gespeichert sein, die anzeigen, welche Laufwerkvorrichtung zuerst gebootet werden soll.
  • Während der Ausführung des Leistung-Ein-Selbsttestmoduls 28 wird ein Booten für die zweckgebundene Laufwerkvorrichtung versucht. Wenn das Booten der Laufwerkvorrichtung fehlschlägt, kann das BIOS 26 den Benutzer nach einem Paßwort auffordern, bevor es versucht, die verbleibenden Laufwerkvorrichtungen auf der Liste zu booten. Ein bestimmtes Paßwort, das z. B. der Laufwerkvorrichtung zugeordnet ist, kann in den Speicher 42 gespeichert und aus dem Speicher 42 wiedergewonnen werden, während versucht wird, die zweckgebundene Laufwerkvorrichtung zu booten. Ein Booten wird für jede Laufwerkvorrichtung auf der Liste versucht, bis ein Booten erfolgreich ist.
  • Wie vorangehend kurz beschrieben wurde, weist die Festplatte 16 einen Identifizierer 44 auf, der entweder vorprogrammiert oder in den Speicher 42 als Identifizierer 46 vor der ersten Aktivierung des Systems 10 oder in den Speicher 42während der ersten Aktivierung des Systems 10 gespeichert werden kann. Das BIOS 26 kann z. B. derart konfiguriert sein, daß der Identifizierer 44, der der Festplatte 16 entspricht wiedergewonnen wird, wenn das System 10 zum ersten Mal aktiviert oder in den Speicher 42 als Identifizierer 46 gespeichert wird. Während der Ausführung des Leistung-Ein-Selbsttestmoduls 28 wird ein Booten der Festplatte 16 versucht. Während des versuchten Bootens der Festplatte 16 fragt der Prozessor 22 die Festplatte 16 ab und gewinnt den Identifizierer 44 aus der Festplatte 16 wieder und vergleicht den Identifizierer 44 mit dem Identifizierer 46, der in dem Speicher 42 gespeichert ist. Wenn die Identifizierer 44 und 46 übereinstimmen, wird die Festplatte 16 gebootet. Wenn die Identifizierer 44 und 46 nicht übereinstimmen, wird die Festplatte 16 nicht gebootet und das Verfahren des Bootens verbleibender Laufwerkvorrichtungen auf der erzeugten Liste verfügbarer Laufwerkvorrichtungen wird fortgesetzt, sobald ein Paßwort des BIOS 26 geliefert wird. Zusätzlich dazu kann der Prozessor 22 angepaßt sein, um eine Warnung auf einer Anzeige oder einem anderen Typ einer Ausgabevorrichtung (nicht ausdrücklich gezeigt) anzuzeigen, die angibt, daß die Identifizierer 44 und 46 einander nicht entsprechen.
  • Somit schränken die Ausführungsbeispiele der vorliegenden Erfindung das Booten der Laufwerkvorrichtung 15 auf der bestimmten Hauptplatine 14 ein, die einen Identifizierer 46 aufweist, der mit dem Identifizierer 44 übereinstimmt, der der Laufwerkvorrichtung 15 entspricht, wodurch die Hauptplatine 14 an einer bestimmten Laufwerkvorrichtung 15 "verriegelt" wird. Dementsprechend bleibt die Konfiguration des Systems 10 sicher, da die Laufwerkvorrichtung 15 nicht entfernt und durch eine andere Laufwerkvorrichtung ersetzt werden kann - eine Seriennummer oder ein Identifizierer der Ersatzlaufwerkvorrichtung entspricht dem Identifizierer 46 nicht, der in dem Speicher 42 gespeichert ist. Zusätzlich dazu wird ein Zugriff auf den Speicher 42 bei einem Versuch des Wiedergewinnens des Identifizierer 46 im wesentlichen verhindert, da ein Booten einer Austauschlaufwerkvorrichtung nicht erfolgreich ist.
  • Fig. 2 ist ein Flußdiagramm, das ein Verfahren zum Sichern eines Systems 10 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt. Das Verfahren beginnt bei Schritt 200, wo der Prozessor 22 ein Leistung-Ein- Selbsttestmodul 28 ausführt. Bei dem Entscheidungsschritt 202 wird eine Bestimmung durchgeführt, ob die Aktivierung des aktuellen Systems 10 eine erste Aktivierung oder erste Ausführung des Leistung-Ein-Selbsttestmoduls 28 ist. Wenn die aktuelle Aktivierung die erste Aktivierung ist, springt das Verfahren von Schritt 202 zu Schritt 204, wo der Identifizierer 44, der der Laufwerkvorrichtung 15 zugeordnet ist, aus der Laufwerkvorrichtung 15 wiedergewonnen wird. Bei Schritt 206 wird der Identifizierer 44, der aus der Laufwerkvorrichtung 15 wiedergewonnen wird, in dem Speicher 42 als Identifizierer 46 gespeichert. Wenn die aktuelle Aktivierung nicht die erste Aktivierung des Leistung-Ein- Selbsttestmoduls 28 ist, dann springt das Verfahren von Schritt 202 zu Schritt 208.
  • Bei Schritt 208 bestimmt der Prozessor 22 eine Auflistung von verfügbaren Laufwerkvorrichtungen gemäß den Befehlen des Leistung-Ein-Selbsttestmoduls 28. Bei Schritt 210 bestimmt der Prozessor 22, welche der aufgelisteten Laufwerkvorrichtungen zuerst zum Booten ausgewählt werden sollten. Wie oben kurz beschrieben wurde, können die Befehle zum Booten der verschiedenen Laufwerkvorrichtungen z. B. eine bestimmte Reihenfolge aufweisen, oder können aufweisen, daß bestimmte Laufwerkvorrichtungen zuerst gebootet werden sollen. Bei dem Entscheidungsschritt 212 wird eine Bestimmung durchgeführt, ob die ausgewählte Laufwerkvorrichtung die erste Laufwerkvorrichtung für ein versuchtes Booten ist, wie z. B. die Laufwerkvorrichtung 15. Wenn die ausgewählte Laufwerkvorrichtung nicht die erste Laufwerkvorrichtung ist, springt das Verfahren von Schritt 212 zu Schritt 224, wo der Prozessor 22 versucht, die ausgewählte Laufwerkvorrichtung zu booten. Das Verfahren springt dann zu Schritt 226.
  • Wenn die ausgewählte Laufwerkvorrichtung die erste Laufwerkvorrichtung ist, die für ein versuchtes Booten ausgewählt wird, springt das Verfahren von Schritt 212 zu Schritt 216, wo der Prozessor 22 die Laufwerkvorrichtung nach einem Identifizierer abfragt. Wenn die ausgewählte Laufwerkvorrichtung z. B. die Laufwerkvorrichtung 15 aufweist, gewinnt der Prozessor den Identifizierer 44 wieder, der der Laufwerkvorrichtung 15 entspricht. Bei Schritt 218 gewinnt der Prozessor 22 den Identifizierer 46 wieder, der in dem Speicher 42 gespeichert ist. Bei Schritt 220 vergleicht der Prozessor 22 den Identifizierer 44 mit dem Identifizierer 46.
  • Bei dem Entscheidungsschritt 222 wird eine Bestimmung durchgeführt, ob der Identifizierer 44 mit dem Identifizierer 46 übereinstimmt oder demselben entspricht, der in dem Speicher 42 gespeichert ist. Wenn der Identifizierer 44 dem Identifizierer 46 entspricht, springt das Verfahren von Schritt 222 zu Schritt 224, wo der Prozessor 22 die Laufwerkvorrichtung bootet. Wenn der Identifizierer 44 dem Identifizierer 46 nicht entspricht, der in dem Speicher 42 gespeichert ist, dann springt das Verfahren von Schritt 222 zu Schritt 228. Bei Schritt 228 fordert der Prozessor 22 von dem Benutzer des Systems 10 ein Paßwort, das dem BIOS 26 zugeordnet ist, oder fragt dasselbe ab, zum Zugreifen auf Sicherheits- und Konfigurations-Einstellungen, die dem System 10 zugeordnet sind. Bei dem Entscheidungsschritt 230 wird eine Bestimmung durchgeführt, ob das Paßwort, das dem BIOS 26 zugeordnet ist, authentifiziert wurde. Wenn das Paßwort, das dem BIOS 26 zugeordnet ist, authentifiziert wurde, springt das Verfahren von Schritt 230 zu Schritt 226. Wenn das Paßwort, das dem BIOS 26 zugeordnet, ist nicht authentifiziert wurde, endet das Verfahren.
  • Bei dem Entscheidungsschritt 226 wird eine Bestimmung durchgeführt, ob eine andere Laufwerkvorrichtung ein Booten erfordert. Wenn eine andere Laufwerkvorrichtung ein Booten erfordert, kehrt das Verfahren zu Schritt 210 zurück. Wenn keine andere Laufwerkvorrichtung ein Booten erfordert, endet das Verfahren, wodurch die Ausführung des Leistung- Ein-Selbsttestmoduls 28 abgeschlossen ist oder die fortgesetzte Ausführung des Leistung-Ein-Selbsttestmoduls 28 bereitgestellt wird.
  • Somit liefert die vorliegende Erfindung eine höhere Sicherheit des Systems 10 als bekannte Sicherheitssysteme, im wesentlichen durch Verhindern des Bootens der Laufwerkvorrichtung 15, wenn die Laufwerkvorrichtung 15 keine ursprünglich konfigurierte Laufwerkvorrichtung 15 des Systems 10 ist. Zusätzlich dazu liefert die vorliegende Erfindung eine vorhersehbarere Wartung des Systems 10 oder eine diagnostische Bewertung, da der Benutzer des Systems 10 im wesentlichen daran gehindert wird, das System 10 zu ändern. Ferner liefert die vorliegende Erfindung eine erhöhte Steuerung von geschützten oder empfindlichen Informationen, die auf der Laufwerkvorrichtung 15 gespeichert sein können.

Claims (23)

1. Computersicherheitssystem (10), das folgende Merkmale aufweist:
eine Hauptplatine (14), die einen Prozessor (22) und einen Speicher (42) aufweist;
eine Laufwerkvorrichtung (15), die einen zugewiesenen Identifizierer (44) aufweist und mit der Hauptplatine (14) gekoppelt ist; und
ein Grundeingabe-/Ausgabesystem (BIOS) (26), das durch den Prozessor (22) ausführbar ist und angepaßt ist, um den zugewiesenen Identifizierer (44) der Laufwerkvorrichtung (15) mit einem Identifizierer (46) zu vergleichen, der in dem Speicher (42) gespeichert ist, und die Laufwerkvorrichtung (15) zu booten, wenn der zugewiesene Identifizierer (44) dem gespeicherten Identifizierer (46) entspricht.
2. Sicherheitssystem (10) gemäß Anspruch 1, bei dem der Speicher (42) einen seriellen Flash-Speicher aufweist.
3. Sicherheitssystem gemäß Anspruch 1 oder 2, bei dem der zugewiesene Identifizierer (44) während der ersten Operation eines Leistung-Ein-Selbsttestmoduls (28)in dem Speicher (42) gespeichert wird.
4. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 3, bei dem der Prozessor (22) eine Warnung erzeugt, wenn der zugewiesene Identifizierer (44) sich von dem gespeicherten Identifizierer (46) unterscheidet.
5. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 4, bei dem das Computersicherheitssystem (10) auf einer Interneteinrichtung angeordnet ist.
6. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 5, bei dem das BIOS (26) angepaßt ist, um den gespeicherten Identifizierer (46) während einer Leistung- Ein-Selbsttestoperation mit dem zugewiesenen Identifizierer (44) zu vergleichen.
7. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 6, bei dem das BIOS (26) ferner angepaßt ist, um zu bestimmen, ob eine aktuelle Aktivierung des Systems (10) eine erste Aktivierung des Systems (10) ist, und den zugewiesenen Identifizierer (44) in dem Speicher (42) zu speichern, wenn die aktuelle Aktivierung die erste Aktivierung ist.
8. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 7, bei dem die Laufwerkvorrichtung (15) ein Festplattenlaufwerk (16) aufweist.
9. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 8, bei dem das Computersicherheitssystem (10) auf einem Desktop-Computer angeordnet ist.
10. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis 9, bei dem der Prozessor ferner angepaßt ist, um den Benutzer nach einem Paßwort aufzufordern, das dem BIOS (26) zugeordnet ist, wenn der zugeordnete Identifizierer (44) dem gespeicherten Identifizierer nicht entspricht.
11. Verfahren zum Sichern eines Computersystems, das folgende Schritte aufweist:
automatisches Aufrufen einer Laufwerkvorrichtung (15), um einen zugewiesenen Identifizierer (44), der der Laufwerkvorrichtung (15) zugeordnet ist, zu bestimmen;
Vergleichen des zugewiesenen Identifizierers (44) mit einem Identifizierer (46), der in einem Speicher (42) einer Hauptplatine (14) gespeichert ist;
Booten der Laufwerkvorrichtung (15), wenn der zugewiesene Identifizierer (44) dem gespeicherten Identifizierer (46) entspricht.
12. Verfahren gemäß Anspruch 11, bei dem das Vergleichen das Vergleichen des zugewiesenen Identifizierers (44) mit einem Identifizierer (46) aufweist, der in einem seriellen Flash-Speicher gespeichert ist.
13. Verfahren gemäß Anspruch 11 oder 12, bei dem das automatische Aufrufen einer Laufwerkvorrichtung (15) das automatische Aufrufen eines Festplattenlaufwerks (15) über ein Grundeingabe-/Ausgabe-System (BIOS) aufweist, wobei das BIOS (26) angepaßt ist, um den gespeicherten Identifizierer (46) aus dem Speicher (42) wiederzugewinnen.
14. Verfahren gemäß einem der Ansprüche 11 bis 13, das ferner das Erzeugen einer Warnung aufweist, wenn der gespeicherte Identifizierer (46) sich von dem zugewiesenen Identifizierer (44) unterscheidet.
15. Verfahren gemäß einem der Ansprüche 11 bis 14, das ferner das Speichern des zugewiesenen Identifizierers (44), der der Laufwerkvorrichtung (15) zugeordnet ist, während einer ersten Leistung-Ein-Selbsttestoperation in dem Speicher (42) aufweist.
16. Verfahren gemäß Anspruch 15, bei dem das automatische Aufrufen das automatische Aufrufen der Laufwerkvorrichtung (15) während jeder nachfolgenden Leistung- Ein-Selbsttestoperation aufweist.
17. Verfahren gemäß einem der Ansprüche 11 bis 16, bei dem das automatische Aufrufen das automatische Aufrufen einer Laufwerkvorrichtung (15) während einer Leistung- Ein-Selbsttestoperation aufweist.
18. Verfahren zum Sichern eines Computersystems, das folgende Schritte aufweist:
Bereitstellen einer Laufwerkvorrichtung (15), die einen Identifizierer aufweist;
Bereitstellen einer Hauptplatine (14), die einen Prozessor (22) und einen Speicher (42) aufweist; Speichern des Identifizierers in dem Speicher (42);
Bereitstellen eines Grundeingabe-/Ausgabesystems (BIOS) (26), das angepaßt ist, um die Laufwerkvorrichtung (15) aufzurufen, um den Identifizierer wiederzugewinnen, und die Laufwerkvorrichtung (15) zu booten, wenn der wiedergewonnene Identifizierer mit dem Identifizierer übereinstimmt, der in dem Speicher (42) gespeichert ist.
19. Verfahren gemäß Anspruch 18, das ferner das Erzeugen einer Warnung aufweist, wenn sich der wiedergewonnene Identifizierer von dem gespeicherten Identifizierer unterscheidet.
20. Verfahren gemäß Anspruch 18 oder 19, bei dem das Bereitstellen einer Hauptplatine (14) das Bereitstellen einer Hauptplatine (14) aufweist, die einen seriellen Flash-Speicher aufweist, und bei dem das Speichern das Speichern des Identifizierers in dem seriellen Flash-Speicher aufweist.
21. Verfahren gemäß einem der Ansprüche 18 bis 20, bei dem das Bereitstellen des BIOS (26) ferner das Bereitstellen des BIOS (26) aufweist, das angepaßt ist, um die Laufwerkvorrichtung (15) während einer Leistung-Ein- Selbsttestoperation aufzurufen.
22. Verfahren gemäß einem der Ansprüche 18 bis 21, bei dem das Speichern des Identifizierers das Speichern des Identifizierers in dem Speicher (42) während einer ersten Leistung-Ein-Selbsttestoperation aufweist.
23. Verfahren gemäß Anspruch 22, bei dem das Bereitstellen des BIOS (26) ferner das Bereitstellen des BIOS (26) aufweist, das angepaßt ist, um die Laufwerkvorrichtung (15) während jeder nachfolgenden Leistung-Ein- Selbsttestoperation aufzurufen.
DE10248465A 2001-10-30 2002-10-17 System und Verfahren zum Sichern eines Computers Ceased DE10248465A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US09/999,466 US7100036B2 (en) 2001-10-30 2001-10-30 System and method for securing a computer

Publications (1)

Publication Number Publication Date
DE10248465A1 true DE10248465A1 (de) 2003-05-15

Family

ID=25546362

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10248465A Ceased DE10248465A1 (de) 2001-10-30 2002-10-17 System und Verfahren zum Sichern eines Computers

Country Status (4)

Country Link
US (1) US7100036B2 (de)
JP (1) JP2003196162A (de)
DE (1) DE10248465A1 (de)
GB (1) GB2384886B (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1762956A2 (de) * 2005-09-09 2007-03-14 Fujitsu Siemens Computers GmbH Computer mit mindestens einer Anschlussmöglichkeit für ein Wechselspeichermedium und Verfahren zum Starten und Betreiben eines Computers mit einem Wechselspeichermedium
WO2007070658A1 (en) * 2005-12-13 2007-06-21 Cisco Technology, Inc. System and method for detecting unauthorized boots
US8321040B2 (en) 2008-04-17 2012-11-27 Beckhoff Automation Gmbh Method for operating a safety control and automation network having such a safety control

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040069196A (ko) * 2001-12-27 2004-08-04 후지쯔 가부시끼가이샤 정보 처리 장치 및 기억 장치
US20030212911A1 (en) * 2002-05-13 2003-11-13 International Business Machines Corporation Secure control of access to data stored on a storage device of a computer system
DE10238093B4 (de) * 2002-08-21 2007-10-18 Audi Ag Fahrzeug-Steuergerät
DE10238094B4 (de) * 2002-08-21 2007-07-19 Audi Ag Verfahren zum Schutz gegen Manipulationen in einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät
US7743241B1 (en) 2003-09-12 2010-06-22 American Megatrends, Inc. Securing the contents of data storage devices within a computer
US7269725B2 (en) * 2003-12-17 2007-09-11 Lenovo (Singapore) Pte. Ltd. Autonomic binding of subsystems to system to prevent theft
US7600132B1 (en) * 2003-12-19 2009-10-06 Adaptec, Inc. System and method for authentication of embedded RAID on a motherboard
US7502942B1 (en) * 2003-12-19 2009-03-10 Adaptec, Inc. System and method for authentication of embedded raid on a motherboard having input/output processor
US8112618B2 (en) * 2004-04-08 2012-02-07 Texas Instruments Incorporated Less-secure processors, integrated circuits, wireless communications apparatus, methods and processes of making
JP2006053703A (ja) * 2004-08-11 2006-02-23 Hitachi Ltd 記憶制御システム及び方法
KR100947019B1 (ko) 2004-09-15 2010-03-11 후지쯔 가부시끼가이샤 정보 처리 장치
US8667580B2 (en) * 2004-11-15 2014-03-04 Intel Corporation Secure boot scheme from external memory using internal memory
TWI267783B (en) * 2004-12-24 2006-12-01 Sunplus Technology Co Ltd Apparatus and system having function of in-system-programming
US7607002B2 (en) * 2005-01-10 2009-10-20 Dell Products L.P. System and method for information handling system boot device branding of boot information
US7370190B2 (en) * 2005-03-03 2008-05-06 Digimarc Corporation Data processing systems and methods with enhanced bios functionality
US20060288197A1 (en) * 2005-06-16 2006-12-21 Swanson Robert C Identifying an operating system associated with a boot path
US7350067B2 (en) * 2005-06-22 2008-03-25 Hewlett-Packard Development Company, L.P. Bios security management
US8554686B2 (en) * 2005-06-30 2013-10-08 Advanced Micro Devices, Inc. Anti-hack protection to restrict installation of operating systems and other software
US7619544B2 (en) * 2005-10-27 2009-11-17 Hewlett-Packard Development Company, L.P. BIOS password security using modified scan codes
US7577809B2 (en) * 2005-11-02 2009-08-18 Promethean Storage Llc Content control systems and methods
US20070118658A1 (en) * 2005-11-23 2007-05-24 Broyles Paul J User selectable management alert format
US7571368B1 (en) 2006-01-26 2009-08-04 Promethean Storage Llc Digital content protection systems and methods
US7996899B1 (en) 2006-02-24 2011-08-09 Hitachi Global Storage Technologies Netherlands B.V. Communication systems and methods for digital content modification and protection
US8243922B1 (en) 2006-02-24 2012-08-14 Hitachi Global Storage Technologies Netherlands B.V. Digital content modification for content protection
US20070234073A1 (en) * 2006-03-31 2007-10-04 Lenovo (Singapore) Pte. Ltd. Random password automatically generated by bios for securing a data storage device
US20070271609A1 (en) * 2006-05-18 2007-11-22 Phison Electronics Corp. Security system of flash memory and method thereof
US9177111B1 (en) 2006-11-14 2015-11-03 Hitachi Global Storage Technologies Netherlands B.V. Systems and methods for protecting software
JP2008269246A (ja) * 2007-04-19 2008-11-06 Oki Data Corp 画像形成装置
TWI338852B (en) * 2007-07-31 2011-03-11 Wistron Corp Harddisk security method
US20090077390A1 (en) * 2007-09-14 2009-03-19 Particio Lucas Cobelo Electronic file protection system having one or more removable memory devices
US8266415B2 (en) * 2008-02-26 2012-09-11 Broadcom Corporation Electronic device board level security
KR101363414B1 (ko) 2008-07-03 2014-02-14 삼성전자 주식회사 컴퓨터 시스템 및 그 제어방법
US8954804B2 (en) * 2008-07-15 2015-02-10 Ati Technologies Ulc Secure boot circuit and method
US8127122B2 (en) * 2008-09-16 2012-02-28 Hewlett-Packard Development Company, L.P. Selection of boot drive in a computer system
US8132267B2 (en) 2008-09-30 2012-03-06 Intel Corporation Apparatus and method to harden computer system
US20100083365A1 (en) * 2008-09-30 2010-04-01 Naga Gurumoorthy Apparatus and method to harden computer system
JP4881452B2 (ja) * 2010-03-12 2012-02-22 株式会社バッファロー 記憶処理装置及びプログラム
JP5380604B2 (ja) * 2010-03-26 2014-01-08 株式会社東芝 情報記録装置
US11297045B2 (en) 2010-03-26 2022-04-05 Kioxia Corporation Information recording apparatus with shadow boot program for authentication with a server
WO2012147170A1 (ja) * 2011-04-26 2012-11-01 富士通株式会社 リモート起動装置、方法、およびプログラム
US9330244B2 (en) * 2011-12-15 2016-05-03 Kabushiki Kaisha Toshiba Controller and method of storage apparatus
TWI447583B (zh) * 2012-02-10 2014-08-01 Phison Electronics Corp 資料保護方法、記憶體控制器與記憶體儲存裝置
KR102068485B1 (ko) 2012-11-30 2020-01-21 삼성전자주식회사 불 휘발성 메모리 모듈 및 그것의 동작 방법
JP6694145B2 (ja) * 2017-01-17 2020-05-13 富士通クライアントコンピューティング株式会社 情報処理装置および管理プログラム
JP2019197511A (ja) * 2018-05-11 2019-11-14 富士通株式会社 情報処理装置及び版数管理プログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5909592A (en) * 1994-09-07 1999-06-01 Intel Corporation Method in a basic input-output system (BIOS) of detecting and configuring integrated device electronics (IDE) devices
US6484308B1 (en) 1995-01-05 2002-11-19 Dell Products L.P. System and method for ensuring data integrity on a removable hard drive
US5745568A (en) * 1995-09-15 1998-04-28 Dell Usa, L.P. Method of securing CD-ROM data for retrieval by one machine
US5857021A (en) 1995-11-07 1999-01-05 Fujitsu Ltd. Security system for protecting information stored in portable storage media
US6003130A (en) 1996-10-28 1999-12-14 Micron Electronics, Inc. Apparatus for selecting, detecting and/or reprogramming system bios in a computer system
DE69837113T2 (de) 1998-01-20 2007-06-06 Fujitsu Ltd., Kawasaki Datenspeicheranordnung und Steuerverfahren dafür
US6934852B2 (en) 2000-12-11 2005-08-23 International Business Machines Corporation Security keys for enhanced downstream access security for electronic file systems and drives

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1762956A2 (de) * 2005-09-09 2007-03-14 Fujitsu Siemens Computers GmbH Computer mit mindestens einer Anschlussmöglichkeit für ein Wechselspeichermedium und Verfahren zum Starten und Betreiben eines Computers mit einem Wechselspeichermedium
US8151115B2 (en) 2005-09-09 2012-04-03 Fujitsu Technology Solutions Intellectual Property Gmbh Computer including at least one connector for a replaceable storage medium, and method for starting and operating a computer via a replaceable storage medium
WO2007070658A1 (en) * 2005-12-13 2007-06-21 Cisco Technology, Inc. System and method for detecting unauthorized boots
US8321040B2 (en) 2008-04-17 2012-11-27 Beckhoff Automation Gmbh Method for operating a safety control and automation network having such a safety control

Also Published As

Publication number Publication date
US20030084316A1 (en) 2003-05-01
US7100036B2 (en) 2006-08-29
GB2384886B (en) 2005-03-16
JP2003196162A (ja) 2003-07-11
GB0224107D0 (en) 2002-11-27
GB2384886A (en) 2003-08-06

Similar Documents

Publication Publication Date Title
DE10248465A1 (de) System und Verfahren zum Sichern eines Computers
EP3274825B1 (de) Verfahren und ausführungsumgebung zum gesicherten ausführen von programmbefehlen
DE60037606T2 (de) Rechner mit urladungsfähigem sicherem Programm
DE60123259T2 (de) Schutz von Boot-Block-Daten und präzise Meldung des Boot-Block-Inhalts
DE60303753T2 (de) Selektives Erkennen von böswilligem Rechnercode
DE102008021567B4 (de) Computersystem mit sicherem Hochlaufmechanismus auf der Grundlage einer Verschlüsselung mit symmetrischem Schlüssel
DE102008011925B4 (de) Sicheres Initialisieren von Computersystemen
DE10393662T5 (de) Bereitstellen eines sicheren Ausführungsmodus in einer Preboot-Umgebung
DE112012005118T5 (de) Sichern von Firmware während der Initialisierung einer Einheit
DE112006001744T5 (de) Manipulationsschutz, um Installation von Betriebssystemen und anderer Software zu beschränken
DE112007000363T5 (de) Verfahren zum Bereitstellen sicherer Firmware
DE19847677C2 (de) Computer, Verfahren und Gerät zum Verhindern eines unautorisierten Zugriffs auf ein Computerprogramm
US5708777A (en) Method and apparatus for selectively locking a system password of a computer system
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
DE112011105687T5 (de) Verwendung eines Option-ROM-Speichers
EP1262856B1 (de) Programmgesteuerte Einheit
EP2299380A1 (de) Wechselspeichermedium für einen Computer, Verwendung eines Wechselspeichermediums und Verfahren zum Starten und Betreiben eines Computers
DE102021127242A1 (de) System und Verfahren zum Signieren und Verriegeln einer Boot-Informationsdatei für ein Host-Computersystem
EP1705592A2 (de) Verfahren und Steuervorrichtung zur Steuerung eines Zugriffs eines Computers auf Nutzdaten
DE112019005417T5 (de) Sichern von Datenprotokollen in Arbeitsspeichervorrichtungen
EP3811263A1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE112020007303T5 (de) Sicheres hochfahren von rechenvorrichtungen
US20080155144A1 (en) Control of a peripheral apparatus via a canopen interface
DE102010029061A1 (de) Verfahren und Vorrichtung zum Bereitstellen einer plattformunabhängigen sicheren Domäne
DE102009007318A1 (de) Hardware-Passwort-Abgleichsystem Vorrichtung und Verfahren

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

R003 Refusal decision now final
R010 Appeal proceedings settled by withdrawal of appeal(s) or in some other way