美政府提供UEFI安全开机的定制化安全指引

有鉴于企业常便宜行事关闭UEFI安全防护机制,美国国安局(National Security Agency,NSA)本周公布UEFI安全开机(Secure Boot)的定制化安全指引,提供给企业管理员。

UEFI Secure Boot是因应近年来针对固件的开机恶意程序越来越多,而出现的防护技术。Secure Boot提供的验证机制可阻挡未经签章验证的程序,借此降低固件攻击可能,减弱已知漏洞的风险。微软自Windows 8就内置UEFI Secure Boot。现代计算机大部分也都启动Secure Boot政策。

但是企业却常因软、硬件不兼容而把Secure Boot关闭。NSA表示,Secure Boot可以应不同环境而定制化,像是凭证、签章及散列都可以定制化,来跑在原本不兼容的软、硬件上。NSA说,定制化Secure Boot能让企业免于恶意软件、内部威胁,提供静止资料(data-at-rest)的防护,因此碰上不兼容的情形,企业管理员应定制化,而非将之关闭。

针对系统及企业基础架构拥有人,NSA建议包括:跑旧式BIOS或兼容性支持模块(Compatibility Support Module,CSM)的机器,应转到UEFI原生模式。此外,所有端点都应激活Secure Boot,并且应设置以它来审核模块、扩展设备及可开机OS镜像文件(有时称为完整模式Thorough Mode)。必要时应定制化Secure Boot以满足支持软、硬件的需求。

NSA还建议,企业应以一组适合设备及使用场景的管理员密码,来提供固件防护。固件也应定期更新,并视同与OS及App更新一样重要。最后,管理员应援用由微软、英特尔、IBM等企业发展的可信赖平台模块(Trusted Platform Module,TPM)来检查固件的完整性,以及Secure Boot的组态。