美國國安局提供UEFI安全開機之客製化安全指引

美國國家安全局(National Security Agency, NSA)公布UEFI安全防護機制客製化安全指引,供各組織內部電腦管理員參考。

 

因應針對韌體之開機惡意程式逐年增加,進而出現UEFI Secure Boot防護技術。Secure Boot提供之驗證機制可阻擋未經簽章驗證之程式,藉此降低韌體攻擊之成功機率,減少已知漏洞風險。微軟自Windows 8版本即內建UEFI Secure Boot防護技術,目前新型電腦多數含有啟動Secure Boot之防護政策。

 

NSA表示,Secure Boot可因應不同環境進行客製,如憑證、簽章及雜湊值皆可客製化,以利執行於原本不相容之軟硬體上。此外,客製化Secure Boot可使企業免於遭受惡意軟體威脅,提供靜止資料(Data at Rest)之防護,因此若組織內部電腦因軟硬體不相容無法直接套用Secure Boot防護,組織管理員應針對組織電腦客製化Secure Boot,而非將之關閉。

 

針對組織內部系統與基礎架構負責人,仍執行舊式BIOS或相容性支援模組(Compatibility Support Module, CSM)之機器,NSA建議儘速移轉至UEFI原生模式。除此之外,所有組織內部端點設備皆應啟用Secure Boot機制,並設定以此為稽核機制,檢查韌體模組、擴充裝置及可開機OS之映像檔,同時針對韌體之相關更新也應加入資安防護範圍,定期更新以避免漏洞威脅,必要時應客製化Secure Boot以符合支援軟硬體之需求。

Reference

資料來源:

https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF

https://www.securityweek.com/nsa-publishes-guidance-uefi-secure-boot-customization

NSA releases UEFI Secure Boot Customization report