[发明专利]通过监测对BIOS或UEFI属性做出的配置改变的链检测安全威胁

权利要求书

1.一种信息处理系统(IHS)，其包括：

处理器；以及

耦接到所述处理器的存储器，所述存储器具有存储在其上的程序指令，所述程序指令在由所述处理器执行时致使所述IHS：

监测基本输入/输出系统(BIOS)/统一可扩展固件接口(UEFI)配置改变的链；

将所述BIOS/UEFI配置改变的链与攻击指标(IoA)进行比较；并且

响应于所述BIOS/UEFI配置改变的链匹配所述IoA而报告警告。

2.如权利要求1所述的IHS，其中为了监测所述BIOS/UEFI配置改变的链，所述程序指令在执行时还致使所述IHS访问存储BIOS配置属性的非易失性存储器(NVM)。

3.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链至少包括：具有第一时间戳的第一配置改变，之后是具有第二时间戳的第二配置改变。

4.如权利要求3所述的IHS，其中所述IoA至少包括：第三配置改变，之后是第四配置改变，其中所述程序指令在执行时致使所述IHS将以下进行比较：(i)所述第一配置改变与所述第三配置改变，以及(ii)所述第二配置改变与所述第四配置改变，并且其中当发生以下情况时，所述BIOS/UEFI配置改变的链在一定程度上匹配所述IoA：(i)所述第一配置改变等于所述第三配置改变，以及(ii)所述第二配置改变等于所述第四配置改变。

5.如权利要求4所述的IHS，其中所述IoA还包括所述第三配置改变与所述第四配置改变之间的时间间隔，其中所述程序指令在执行时致使所述IHS：将所述第二时间戳与所述第一时间戳之间的时间差与所述时间间隔进行比较，并且其中当所述时间差等于或小于所述时间间隔时，所述BIOS/UEFI配置改变的链在一定程度上匹配所述IoA。

6.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：禁用BIOS签名，之后是启用BIOS降级，之后是禁用BIOS自动恢复，之后是启用BIOS自动恢复，之后是禁用BIOS降级，以及之后是启用BIOS签名。

7.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：从启动列表中选择传统启动选项，之后是禁用安全启动，之后是尝试执行传统启动。

8.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：从启动列表中选择安全数字(SD)启动选项、雷电启动选项或通用串行总线(USB)启动选项，之后是将启动装置添加到所述启动列表。

9.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：禁用启动路径安全，之后是以下中的至少一者：禁用安全启动，或尝试传统启动。

10.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：禁用BIOS完整性检查，之后是启用BIOS降级，之后是固件更新，之后是禁用BIOS自动恢复。

11.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：用于可信平台模块(TPM)清除操作的绕过物理存在要求，之后是TPM清除操作。

12.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：允许TPM清除操作，之后是以下中的至少一者：允许本地TPM激活，或允许远程TPM激活操作。

13.如权利要求1所述的IHS，其中所述BIOS/UEFI配置改变的链包括：启用自动开机特征、自动开机唤醒LAN特征、USB唤醒特征或唤醒坞特征，之后是以下中的至少一者：(i)允许BIOS降级，之后是允许固件更新操作，(ii)允许远程TPM激活操作，或(iii)允许内部驱动器的远程擦除。