Artykuł ten pomoże Ci poznać i ustawić podstawowe zabezpieczenia, które utrudnią dostęp do urządzenia w przypadku jego utraty / zgubienia / kradzieży. W tym wpisie opiszę wszystko na przykładzie popularnych modelów biznesowych laptopów Lenovo ThinkPad. Nie mniej jednak, wszystkie inne marki oferujące biznesowe laptopy, posiadają te same rozwiązania, a nawet dość wiele modeli niebiznesowych, także posiada te same możliwości zabezpieczeń. Nie należy traktować artykułu w sposób: OK włączę to co tu pokazaliście i mam w pełni bezpieczny laptop. Wiele ze wspomnianych zabezpieczeń da się obejść, ale nie przez amatora itd.
Spis treści
Serie biznesowe laptopów: Lenovo ThinkPad, HP EliteBook i ProBook, Dell
Najwięcej opcji zabezpieczeń posiadają jednak modele biznesowe, czyli laptopy, gdzie zazwyczaj trzymamy jakieś ważne dane związane z pracą. Poniżej opiszę kilka popularnych zabezpieczeń, które uważam, że powinny zostać wdrożone przez właściciela laptopa, jeżeli chce zadbać o jego bezpieczeństwo (przynajmniej w jakimś stopniu). Warto podkreślić, aby przetrzymywać w bezpiecznym miejscu informacje na temat założonych haseł / kluczy, gdyż po skonfigurowaniu, niektórych zabezpieczeń, gdy zapomnimy hasła, nie uzyskamy dostępu do urządzeniu / danych. Hasła możemy przetrzymywać np. w bitwarden, do którego dodatkowo zabezpieczymy dostęp przez dwuetapowe logowanie np. z użyciem klucz YubiKey 5 – ale o tym w końcowej części artykułu. Najlepiej używać haseł różnych do każdego z miejsc, minimum 15 znaków, duże i małe litery, cyfry i znaki specjalne 🙂
Zabezpieczenie nr 1 – Hasło ATA na dysk SSD/HDD
Z poziomu BIOS, w każdym Lenovo ThinkPad, mamy możliwość założenia hasła ATA dla dysków, które posiadamy w urządzeniu. Hasło można założyć na 1 dysk lub wszystkie, które posiadamy zainstalowane fizycznie w urządzeniu. Hasło ATA jest hasłem, które będziesz musiał wpisać za każdym razem, gdy włączysz komputer / uruchomisz ponownie. Jeżeli masz kilka dysków, to hasło będziesz musiał wpisać do wszystkich. Dobrą metodą jest tu ustawienie np. różnego hasła w przypadku większej ilości dysków. Zablokowany w ten sposób dysk, hasłem ATA, nie zostanie zainicjowany do systemu Windows / Linux nawet w przypadku podpięcia do innego komputera, bez podania odpowiedniego hasła. Usunięcie takiego hasła z dysku, wymaga bardzo drogich i specjalistycznych narzędzi przeznaczonych do odzyskiwania danych z nośników (zaczynających się od kilkunastu tysięcy),więc w większości przypadków, zapewne znaleziony taki dysk w komputerze, zostanie wywalony do kosza i kupiony nowy bez blokady, gdyż usługa przywrócenia takiego dysku ustawień fabrycznych, okazałaby się kilkanaście / kilkadziesiąt razy droższa niż zakup nowego / używanego bez hasła. Naturalnie są niektóre modele dysków HDD, gdzie hasło ATA uda się usunąć programem, ale takich dysków jest niewiele.
Jak ustawić Hasło ATA na dysku SSD/HDD w Lenovo ThinkPad (Hard Disk Password)?
Aby ustawić hasło dysku twardego, wykonaj następujące czynności:
Zrestartuj komputer. Po wyświetleniu ekranu z logo naciśnij klawisz F1, aby uruchomić ustawienia BIOS.
Wybierz Zabezpieczenia -> Hasło -> Dysk twardy X (HardDisk password) Hasło za pomocą klawiszy kierunkowych.
Wyświetlone zostanie okno hasła. Zostaniesz poproszony o wybranie Użytkownika lub Użytkownika + Master. Wybierz Użytkownik, jeśli chcesz ustawić tylko jedno hasło dysku twardego. Wybierz opcję User + Master, jeśli chcesz ustawić hasło dysku twardego użytkownika i główne hasło dysku twardego, na przykład, jeśli jesteś administratorem lub przełożonym.
- W przypadku wybrania opcji Użytkownik wykonaj następujące czynności:
Gdy otworzy się okno do wpisywania nowego hasła, wpisz nowe hasło w polu Enter New Password i naciśnij Enter
W polu Potwierdź nowe hasło wpisz ponownie wprowadzone hasło i naciśnij klawisz Enter.
- W przypadku wybrania opcji Użytkownik + Master wykonaj następujące czynności:
Najpierw ustaw hasło dysku twardego użytkownika. Gdy w oknie komunikatu zostanie wyświetlony informacja o ustawieniu hasła dysku użytkownika, naciśnij klawisz Enter, aby kontynuować. Wpisz nowe hasło dysku twardego użytkownika w polu Enter New Password i naciśnij klawisz Enter. Wpisz ponownie hasło w polu Potwierdź nowe hasło i naciśnij klawisz Enter.
Następnie ustaw główne hasło dysku twardego. Gdy w oknie komunikatu pojawi się informacja o ustawienie głównego hasła dysku twardego. Naciśnij Enter, aby kontynuować. Wpisz nowe główne hasło dysku twardego w polu Enter New Password i naciśnij klawisz Enter. Wpisz ponownie hasło w polu Potwierdź nowe hasło i naciśnij klawisz Enter.
Wyświetlone zostanie okno informacyjne. Naciśnij Enter, aby kontynuować
Naciśnij klawisz F10 aby zapisać ustawienia. Wyświetlone zostanie okno potwierdzenia konfiguracji. Wybierz opcję Tak, aby zapisać zmiany konfiguracji i wyjść z BIOSu.
Przy następnym włączeniu komputera wpisz hasło użytkownika lub główne hasło dysku twardego, aby uruchomić komputer i uzyskać dostęp do systemu operacyjnego
Zabezpieczenie nr 2 – Hasło Bios Supervisor, Hasło PowerON
Kolejnym z zabezpieczeń, które możemy włączyć z poziomu BIOS-u, są hasła: BIOS tzw. Supervisor oraz PowerOn. Hasło bios jest hasłem, które blokuje nam dostęp do biosu, oraz blokuje ono możliwość zmiany jakichkolwiek ustawień w BIOS bez podania tego hasła. Hasło PowerOn jest hasłem, które blokuje rozruch komputera. Jeżeli go nie wpiszemy, to najzwyczajniej nie włączy się nic, oprócz ekranu kłódki z polem do wpisania hasła.
Jak ustawić Hasło BIOS i PowerOn w ThinkPad?
Aby ustawić, zmienić lub usunąć hasło startowe (Power-ON lub Supervisor BIOS password), wykonaj następujące czynności:
Zrestartuj komputer. Po wyświetleniu ekranu z logo naciśnij klawisz F1, aby przejść do ustawień BIOS.
Wybierz zakładkę Security -> Password -> Power-on Password lub Supervisor Password (BIOS password) za pomocą klawiszy kierunkowych.
W zależności od potrzeb wykonaj jedną z następujących czynności:
- Aby ustawić hasło, wykonaj następujące czynności:
W polu Enter New Password wpisz żądane hasło i naciśnij klawisz Enter.
W polu Potwierdź nowe hasło wpisz ponownie hasło i naciśnij klawisz Enter.
- Aby zmienić hasło, wykonaj następujące czynności:
W polu Enter Current Password wpisz aktualne hasło uruchomieniowe i naciśnij klawisz Enter
W polu Enter New Password wpisz nowe hasło uruchomieniowe i naciśnij klawisz Enter; następnie ponownie wpisz hasło w polu Potwierdź nowe hasło i Enter.
- Aby usunąć hasło, wykonaj następujące czynności:
W polu Enter Current Password wpisz bieżące hasło uruchomieniowe i naciśnij klawisz Enter.
Pola Wprowadź nowe hasło i Potwierdź nowe hasło pozostaw puste. Naciśnij klawisz Enter dwukrotnie.
Wyświetlone zostanie okno potwierdzające. Naciśnij Enter, aby kontynuować.
Naciśnij klawisz F10 by zapisać zmiany. Wyświetlone zostanie okno potwierdzenia konfiguracji. Wybierz opcję Tak, aby zapisać zmiany konfiguracji i wyjść z BIOS.
Zabezpieczenie nr 3 – Anti-Theft Computrace
Usługa Anti-Theft firmy Computrace opisywana była już na moim blogu. W skrócie jest to zdalny system, który zabezpiecza nasz komputer. Komputer możemy zdalnie śledzić (lokalizacja), zablokować, wyczyścić, odczytywać informacje z dysku itd. wtedy, gdy uzyska dostęp do Internetu. Jeżeli zamierzamy skorzystać z tej usługi to warto wyposażyć się w wersję laptopa z modemem WWAN. Anti-Theft jest płatną usługą, w wyższych pakietach, oferują także pomoc w odzyskaniu skradzionego sprzętu itp.
Jak włączyć Anti-Theft Computrace?
Po założeniu konta w serwisie trial czy wykupieniu abonamentu, otrzymujemy instrukcję w jaki sposób to zrobić w naszym urządzeniu. Nie będę tego tu opisywał.
Zabezpieczenie nr 4 – szyfrowanie dysku np. BitLocker + TPM
Szyfrowanie dysku, czyli w skrócie przekształcenie zapisanych informacji na nim na postać niezrozumiałą, tak aby osoba bez klucza, nie mogła odczytać informacji na nim zawartych. Szyfrowanie dysku BitLockerem posiada 2 opcje, szyfrujemy cały dysk lub tylko zajęta przestrzeń na dysku. Ta druga wersja jest szybsza. Po skonfigurowaniu BitLockera, jeżeli nasz komputer nie jest wyposażony w TPM, to będziemy za każdym razem musieli wpisać hasło do odszyfrowania dysku, możliwe jest także stworzenie specjalnego pendrive, które będziemy podpinać przy starcie systemu z którego będzie odczytywane hasło. Jeżeli posiadamy TPM, wtedy hasło samo automatycznie, będzie wysyłane do bitlockera. Jeżeli posiadamy wersję TPM + pin takie hasło zostanie dopiero wysłane do bitlocker, jeżeli podamy PIN. Wszystko doskonale zostało powiedziane w tym filmiku na YT.
Jak włączyć szyfrowanie dysku za pomocą BitLocker?
Wszystko opisane jest na innych stronach, dlatego uważam, że nie ma sensu ponownie opisywać to samo. Zobacz artykuł np. https://przewodniki.uj.edu.pl/szyfrowanie/szyfrowanie-dysku/szyfrowanie-dysku-przy-pomocy-bitlockera/ lub https://support.microsoft.com/pl-pl/windows/włączanie-szyfrowania-urządzenia-0c453637-bc88-5f74-5105-741561aae838
Dostępna jest także masa Wideo na YouTube. Przykład:
Szyfrowanie dysku z użyciem veracrypt?
Jeżeli ktoś uważa, że BitLocker jest dla niego za słaby, lub znanych jest już trochę sposobów na jego obejście może wykorzystać inne programy np. wspomniany: veracrypt.
Zabezpieczenie nr 5 – Hasło do konta Windows (hasło użytkownika)
Kolejną metodą zabezpieczenia naszych danych, może być hasło do konta użytkownika Windows. Poniżej Wideo z YT w jaki sposób możemy założyć takie hasło.
Jak włączyć logowanie hasłem w Windows ? na przykładzie Windows 10.
Zabezpieczenie nr 6 – Fizyczne zabezpieczenie sprzętu za pomocą linki do gniazda Kensington
Kensington Lock (nazywane takżę, K-Slot czy też Kensington Security Slot) – jest to gniazdo w urządzeniu, które służy do podpięcia antykradzieżowej linki.
Udogodnienia
Jeżeli chcesz mieć zabezpieczone urządzenie, ale męczy Cię ciągłe wpisywanie haseł. Warto pomyśleć o zakupie sprzętu, który posiada przynajmniej jedno z udogodnień:
- Czytnik Linii Papilarnych
- Kamera IR na podczerwień do Windows Hello
Czytnik Linii Papilarnych jak sama nazwa wskazuje, pomoże nam zastąpić tradycyjne logowanie hasłami przy pomocy skanu palca.
Kamera IR na podczerwień, pozwoli nam zastąpić tradycyjne logowanie hasłami, w niektórych miejscach przy pomocy twarzy np. logowanie do Windows przy pomocy funkcji Windows hello.
Przechowywanie haseł w menedżer haseł np. Bitwarden
Możesz naturalnie wybrać tu wiele innych, np. Dashlane, 1Password, LastPass, NoprdPass, KeePassXC i wiele innych. Wszystko zależy od potrzeb, czy chcemy używać managera lokalnego, czy w chmurze itp. Fajny artykuł w Sieci na ten temat, aby nie tworzyć tu długiego wpisu:
https://kwestiabezpieczenstwa.pl/manedzer-hasel/
Nie lubisz czytać to zobacz to wideo 🙂
Jak wspomniałem na początku artykułu, możemy włączyć wieloskładnikowe logowanie do Bitwardena np. pomimo ustawionego hasła, będziemy musieli użyć jeszcze klucza YubiKey5. Co to YubiKey5 i jak go używać?
Warto wspomnieć, że możemy go używać do wielu rzeczy np. do logowania Windows 🙂
Czy korzystać z Menadżera Haseł?
Przypisanie urządzenia do Organizacji /MDM enrollment / Zdalne zarządzanie / Windows Autopilot
Możesz skorzystać z opcji przypisania twojego urządzenia do usługi np. Windows autopilot / MDM Azure. Na temat tej usługi / blokady, stworzyliśmy osobny artykuł do którego zapraszamy. W skrócie, przypisanym urządzeniem do organizacji – można zarządzać zdalnie. Ponadto jeżeli ktoś wejdzie w posiadanie sprzętu, to po reinstalacji urządzenia zostanie poinformowany, że urządzenie należy do danej organizacji i jeżeli nie będzie posiadał loginu i hasła to nie skonfiguruje systemu Windows na tym urządzeniu. Pozostanie mu używanie laptopa z systemem Linux.
Artykuł wkrótce zostanie rozbudowany o kolejne ciekawostki 😉 Chcesz coś zaproponować? Zostaw komentarz.