Влияет ли пароль жесткого диска в BIOS на несколько дисков одинаково?
У меня есть ноутбук Asus UX32V, который имеет встроенный SSD (я думаю, 24 ГБ) и сменный жесткий диск. Несколько лет назад я заменил жесткий диск на 250 ГБ SSD (Samsung). Теперь я собираюсь заменить SSD на 250 ГБ на SSD на 500 ГБ (Crucial MX300).
С SSD на 250 ГБ у меня был Linux Mint с программным шифрованием LUKS. Я решил, что с новым 500-гигабайтным твердотельным накопителем я хочу использовать аппаратное шифрование диска, которое поддерживается Crucial MX300.
BIOS UX32V имеет 4 настраиваемых пароля:
- (BIOS) Пароль администратора
- (BIOS) Пароль пользователя
- Главный пароль HDD
- Пароль пользователя HDD
В то время (несколько часов назад) я предполагал, что пароль (и) жесткого диска активирует шифрование диска на аппаратном уровне. Дополнительные исследования заставляют меня поверить, что это предположение было неверным. Возможно, машина даже не поддерживает аппаратное шифрование диска.
Я также предположил, что пароль будет относиться к недавно установленному SSD на 500 ГБ.
Затем я удалил твердотельный накопитель емкостью 500 ГБ (не заменяя его) и был удивлен, что при запуске все еще отображается запрос пароля. Duh!
Только при вставке более старого 250 ГБ SSD запрос пароля BIOS при запуске пропадает.
Мой вывод заключается в том, что пароль жесткого диска также относится к встроенному жесткому диску. Или, может быть, только к этому?
К сожалению, я, кажется, неправильно (2 раза?) Ввел "пароль пользователя жесткого диска" при его создании, так что теперь у меня возникла проблема.
Но я знаю "мастер-пароль жесткого диска". При запуске это нормально, потому что я могу нажать escape и ввести мастер-пароль вместо пароля пользователя. Это позволяет мне продолжить и, например, загрузиться с загрузочной флешки.
Но в BIOS "главный пароль жесткого диска" не разрешает мне изменять "пароль пользователя жесткого диска". Печальный!
Как уже говорилось, если я вставлю более старый 250 ГБ SSD, он не будет запрашивать пароль жесткого диска аппаратного уровня, и я смогу нормально загружать Linux. Затем я могу использовать GParted для просмотра дисков.
Если я запускаю GParted, я сначала получаю "Ошибка fsyncing/close /dev/sdb: Ошибка ввода / вывода" (Retry/Ignore) и "Ошибка ввода / вывода при чтении на /dev/sdb" (Retry/Cancel/Ignore), оба из них появляются 2 раза. После нажатия "Игнорировать" 4 раза, GParted открывается правильно. SSD на 250 ГБ отображается как /dev/sda с различными разделами. Встроенный SSD отображается как /dev/sdb, все "нераспределенные".
Я не помню, были ли на борту SSD какие-либо данные до того, как я включил пароль BIOS HDD. Может быть, он просто отображается как "нераспределенный", потому что данные не могут быть прочитаны?
Вопросы
Суть вопроса в том, что я в замешательстве. Есть много предположений, но не так много уверенности.
Один пароль, несколько жестких дисков:
Как я могу узнать, на какой жесткий диск влияет пароль жесткого диска уровня BIOS, если система содержит несколько жестких дисков? Всегда ли это относится ко всем дискам, которые в настоящее время находятся в системе? Как существующие пароли повлияют на новые / другие вставленные диски?
Где хранятся эти пароли BIOS HDD? На диске или в биосе?
Если пароль влияет на встроенный SSD, то почему я не спрашиваю пароль при загрузке, если установлен SSD на 250 ГБ? И если меня не спрашивают пароль жесткого диска, но один из дисков защищен паролем, то как я могу получить доступ к файлам, если таковые имеются?
Предполагая, что пароль влияет на все диски, которые были вставлены во время создания пароля, - что произойдет, если я изменю пароль, когда только один из этих дисков все еще вставлен, а другой диск был удален?
пароль пользователя против мастер-пароля:
В чем разница между "паролем пользователя жесткого диска" и "главным паролем жесткого диска"?
Я удаляю "Главный пароль жесткого диска", смогу ли я обойти пароль пользователя жесткого диска при запуске?
Можно ли как-то сбросить "пароль пользователя жесткого диска" с помощью "мастер-пароля жесткого диска"?
На этот вопрос можно ответить в отдельном вопросе " Сброс пароля пользователя жесткого диска", если я знаю главный пароль жесткого диска?
Инструменты уровня ОС:
Могу ли я использовать GParted или инструменты командной строки Linux, чтобы узнать, какие диски защищены шифрованием жесткого диска?
Могу ли я использовать любой из этих инструментов для сброса / удаления пароля жесткого диска?
Как форматирование жесткого диска повлияет на пароль жесткого диска?
реальное шифрование диска:
Как я могу узнать, поддерживает ли мой BIOS аппаратное шифрование диска? Я полагаю, это отдельно от "пароля жесткого диска"?
Системная информация
Asus UX32V
"Утилита настройки Aptio - Copyright (C) 2011 American Megatrends, Inc"
Поставщик BIOS: American Megatrends Версия: 206 VBIOS Версия: 2137.I14UX3.006 EC Версия: B14U120001
Вкладки BIOS: главная, расширенная, загрузка, безопасность, сохранение и выход
На вкладке "Дополнительно" есть опция "Intel AES-NI", которая в настоящее время "[включена]". Описание: "Включить / отключить стандартную новую инструкцию Intel Advance Encryption (AES-NI)".
1 ответ
Вот как я лично решил это, без каких-либо претензий на глубокие знания или понимание.
Сначала отключите защиту паролем блокировки / жесткого диска, как описано здесь, Сброс пароля пользователя жесткого диска, если я знаю главный пароль жесткого диска?, который у меня есть с https://serverfault.com/questions/712849/how-to-unlock-a-ssd-disk-with-hdparm/733784
Это решение требует, чтобы вы знали хотя бы главный пароль для диска и чтобы у вас была запущенная ОС Linux с подключенным диском.
Я думаю, что главный вывод таков: производители BIOS делают то, что хотят.
Один пароль, несколько жестких дисков
Мои наблюдения показывают, что когда я действительно указал пароль жесткого диска в BIOS (с версией BIOS, которую я использую), он затронул все жесткие диски, которые были подключены в то время: и встроенный SSD, и 2,5-дюймовый SSD.
Друг сказал мне, что его BIOS имеет отдельные настройки для жесткого диска. Что имеет больше смысла.
Мой личный вывод из этого состоит в том, что я не буду использовать аппаратную блокировку диска (или аппаратное шифрование диска), если BIOS не может иметь отдельные настройки для диска.
что произойдет, если я изменю пароль, когда только один из этих дисков все еще вставлен, а другой диск удален?
Например, если один диск заблокирован паролем, а другой нет. Или оба есть, но с другим паролем?
Я полагаю, что мой конкретный BIOS просто не справится с этим очень хорошо. Вот почему я не буду использовать эту функцию.
Пароль пользователя и мастер-пароль
Как сказано в разделе Сброс пароля пользователя жесткого диска, если я знаю главный пароль жесткого диска?: Я смог сбросить пароль пользователя, используя только мастер-пароль, с помощью hdparm. Все данные стали доступны.
Тем не менее, в моем BIOS это кажется невозможным.
В следующей статье, https://www.zeitgeist.se/2014/09/07/enabling-ata-security-on-a-self-encrypting-ssd/, предполагается, что на самом деле существует параметр "MASTER PASSWORED BAPABILITY BIT". msgstr ", который определяет, можно ли использовать мастер-пароль для разблокировки и отключения безопасности.
В статье также упоминается, что BIOS является ненадежным инструментом.
Инструменты уровня ОС:
lsblk дает хороший обзор дисков в настоящее время в системе.
hdparm -I /dev/sdx говорит нам, заблокирован ли диск, заморожен и прочее.
hdparm может быть использован для разблокировки диска и отключения безопасности.
В https://www.zeitgeist.se/2014/09/07/enabling-ata-security-on-a-self-encrypting-ssd/ предлагается использовать hdparm за все, а не доверять биосу. Я все еще читаю об этом.
реальное шифрование диска:
("диск с самошифрованием")
Я до сих пор не уверен, действительно ли пароль, который я определил в BIOS, разрешил аппаратное шифрование диска.
Ну, технически, это всегда включено. Но будет ли пароль использоваться для расшифровки диска, или это что-то отдельное? Я мог бы узнать больше.