美國國安局提供UEFI安全開機之客製化安全指引

• 發布日期：109-12-04
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心  美國國安局提供UEFI安全開機之客製化安全指引
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16458

美國國家安全局(National Security Agency, NSA)公布UEFI安全防護機制客製化安全指引，供各組織內部電腦管理員參考。
因應針對韌體之開機惡意程式逐年增加，進而出現UEFI Secure Boot防護技術。Secure Boot提供之驗證機制可阻擋未經簽章驗證之程式，藉此降低韌體攻擊之成功機率，減少已知漏洞風險。微軟自Windows 8版本即內建UEFI Secure Boot防護技術，目前新型電腦多數含有啟動Secure Boot之防護政策。
NSA表示，Secure Boot可因應不同環境進行客製，如憑證、簽章及雜湊值皆可客製化，以利執行於原本不相容之軟硬體上。此外，客製化Secure Boot可使企業免於遭受惡意軟體威脅，提供靜止資料(Data at Rest)之防護，因此若組織內部電腦因軟硬體不相容無法直接套用Secure Boot防護，組織管理員應針對組織電腦客製化Secure Boot，而非將之關閉。
針對組織內部系統與基礎架構負責人，仍執行舊式BIOS或相容性支援模組(Compatibility Support Module, CSM)之機器，NSA建議儘速移轉至UEFI原生模式。除此之外，所有組織內部端點設備皆應啟用Secure Boot機制，並設定以此為稽核機制，檢查韌體模組、擴充裝置及可開機OS之映像檔，同時針對韌體之相關更新也應加入資安防護範圍，定期更新以避免漏洞威脅，必要時應客製化Secure Boot以符合支援軟硬體之需求。