按Enter到主內容區

美國國安局提供UEFI安全開機之客製化安全指引

  • 發布日期:109-12-04
  • 發布單位:刑事警察大隊

參考網站:
行政院國家資通安全會報技術服務中心  美國國安局提供UEFI安全開機之客製化安全指引
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16458


美國國家安全局(National Security Agency, NSA)公布UEFI安全防護機制客製化安全指引,供各組織內部電腦管理員參考。
因應針對韌體之開機惡意程式逐年增加,進而出現UEFI Secure Boot防護技術。Secure Boot提供之驗證機制可阻擋未經簽章驗證之程式,藉此降低韌體攻擊之成功機率,減少已知漏洞風險。微軟自Windows 8版本即內建UEFI Secure Boot防護技術,目前新型電腦多數含有啟動Secure Boot之防護政策。
NSA表示,Secure Boot可因應不同環境進行客製,如憑證、簽章及雜湊值皆可客製化,以利執行於原本不相容之軟硬體上。此外,客製化Secure Boot可使企業免於遭受惡意軟體威脅,提供靜止資料(Data at Rest)之防護,因此若組織內部電腦因軟硬體不相容無法直接套用Secure Boot防護,組織管理員應針對組織電腦客製化Secure Boot,而非將之關閉。
針對組織內部系統與基礎架構負責人,仍執行舊式BIOS或相容性支援模組(Compatibility Support Module, CSM)之機器,NSA建議儘速移轉至UEFI原生模式。除此之外,所有組織內部端點設備皆應啟用Secure Boot機制,並設定以此為稽核機制,檢查韌體模組、擴充裝置及可開機OS之映像檔,同時針對韌體之相關更新也應加入資安防護範圍,定期更新以避免漏洞威脅,必要時應客製化Secure Boot以符合支援軟硬體之需求。