您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
News Detail Banner
:::

美國國安局提供UEFI安全開機之客製化安全指引

美國國家安全局(National Security Agency, NSA)公布UEFI安全防護機制客製化安全指引,供各組織內部電腦管理員參考。

 

因應針對韌體之開機惡意程式逐年增加,進而出現UEFI Secure Boot防護技術。Secure Boot提供之驗證機制可阻擋未經簽章驗證之程式,藉此降低韌體攻擊之成功機率,減少已知漏洞風險。微軟自Windows 8版本即內建UEFI Secure Boot防護技術,目前新型電腦多數含有啟動Secure Boot之防護政策。

 

NSA表示,Secure Boot可因應不同環境進行客製,如憑證、簽章及雜湊值皆可客製化,以利執行於原本不相容之軟硬體上。此外,客製化Secure Boot可使企業免於遭受惡意軟體威脅,提供靜止資料(Data at Rest)之防護,因此若組織內部電腦因軟硬體不相容無法直接套用Secure Boot防護,組織管理員應針對組織電腦客製化Secure Boot,而非將之關閉。

 

針對組織內部系統與基礎架構負責人,仍執行舊式BIOS或相容性支援模組(Compatibility Support Module, CSM)之機器,NSA建議儘速移轉至UEFI原生模式。除此之外,所有組織內部端點設備皆應啟用Secure Boot機制,並設定以此為稽核機制,檢查韌體模組、擴充裝置及可開機OS之映像檔,同時針對韌體之相關更新也應加入資安防護範圍,定期更新以避免漏洞威脅,必要時應客製化Secure Boot以符合支援軟硬體之需求。

Reference

資料來源:

https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF

https://www.securityweek.com/nsa-publishes-guidance-uefi-secure-boot-customization

https://intelligencecommunitynews.com/nsa-releases-uefi-secure-boot-customization-report/

技術服務中心整理

Publish Date
2020/9/21 上午 12:00:00