セキュアブートを有効にしており、ロードする前にカーネルモジュールに署名する必要があります。署名に使用されるキーは、キーが破損し、悪意のあるカーネルモジュールの署名に使用される可能性を減らすために外部ドライブにあります。ルートの通過を防ぐ方法はありますかmokutil --disable-validation
?攻撃者はシムがロードされた後にセキュアブートチェックを無効にし、BIOSがそれを知らなくても署名されていないカーネルモジュールをロードする可能性があります。これが私が緩和したり、より難しくしたいことです。
答え1
- BIOSパスワード設定
- ハードドライブを暗号化し、鍵を他の場所に保存する
- デフォルトのSSHを無効にする
- デフォルトRDPの無効化
- 厳格なファイアウォールルールの設定
私が知っている限り、まだWindows Bitlockerをハックまたはバイパスできる人はいません。 Ubuntuの場合、設定が高いと突破するのは非常に難しく、そうでなければすべてが可能です。