De Amerikaanse geheime dienst NSA heeft een nieuw document gepubliceerd waarin het aanbevelingen doet voor het gebruik van UEFI Secure Boot. Secure Boot werd in 2012 door Microsoft geïntroduceerd als maatregel om rootkits tegen te gaan.
Via dit mechanisme wordt gecontroleerd dat de code die de firmware van de computer laadt te vertrouwen is. Secure Boot doet dit door de digitale handtekening van een bestand te controleren voordat het geladen wordt. Volgens de NSA staat Secure Boot vanwege incompatibele hardware en software vaak niet ingeschakeld. Secure Boot kan echter worden aangepast om in verschillende omgevingen te kunnen werken, aldus de geheime dienst in het document "UEFI Secure Boot Customization" (pdf).
In plaats van Secure Boot uit te schakelen zouden systeembeheerders Secure Boot juist moeten aanpassen, bijvoorbeeld via eigen certificaten, digitale handtekeningen en hashes, om zo van de beveiligingsvoordelen gebruik te kunnen maken, zo stelt de NSA. Afhankelijk van de implementatie zullen organisaties hun eigen bootbestanden en drivers moeten signeren. Hoe dit moet worden gedaan legt de geheime dienst in het document uit. Wel waarschuwt de NSA dat het aanpassen van Secure Boot ervoor kan zorgen dat een systeem niet meer start. In dit geval moet Secure Boot tijdelijk worden uitgeschakeld en de standaard configuratie worden teruggezet.
Verder adviseert de NSA om computers die van een legacy BIOS of de Compatibility Support Module (CSM) gebruikmaken te migreren naar UEFI native mode. Tevens moet Secure Boot op alle endpoints zijn geschakeld. Ook raadt de NSA aan om een firmwarewachtwoord in te stellen, firmware-updates zo snel als mogelijk te installeren en de integriteit van de firmware en Secure Boot-configuratie via een Trusted Platform Module (TPM) te controleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.