有鑑於企業常便宜行事關閉UEFI安全防護機制,美國國安局(National Security Agency,NSA)本周公布UEFI安全開機(Secure Boot)的客製化安全指引,提供給企業管理員。

UEFI Secure Boot是因應近年來針對韌體的開機惡意程式愈來愈多,而出現的防護技術。Secure Boot提供的驗證機制可阻擋未經簽章驗證的程式,藉此降低韌體攻擊可能,減弱已知漏洞的風險。微軟自Windows 8就內建UEFI Secure Boot。現代電腦大部分也都啟動Secure Boot政策。

但是企業卻常因軟、硬體不相容而把Secure Boot關閉。NSA表示,Secure Boot可以應不同環境而客製化,像是憑證、簽章及雜湊都可以客製化,來跑在原本不相容的軟、硬體上。NSA說,客製化Secure Boot能讓企業免於惡意軟體、內部威脅,提供靜止資料(data-at-rest)的防護,因此碰上不相容的情形,企業管理員應客製化,而非將之關閉。

針對系統及企業基礎架構擁有人,NSA建議包括:跑舊式BIOS或相容性支援模組(Compatibility Support Module,CSM)的機器,應轉到UEFI原生模式。此外,所有端點都應啟用Secure Boot,並且應設定以它來稽核模組、擴充裝置及可開機OS映像檔(有時稱為完整模式Thorough Mode)。必要時應客製化Secure Boot以滿足支援軟、硬體的需求。

NSA還建議,企業應以一組適合裝置及使用情境的管理員密碼,來提供韌體防護。韌體也應定期更新,並視同與OS及App更新一樣重要。最後,管理員應援用由微軟、英特爾、IBM等業者發展的可信賴平臺模組(Trusted Platform Module,TPM)來檢查韌體的完整性,以及Secure Boot的組態。

熱門新聞

Advertisement