Агенцията за национална сигурност на САЩ (АНС) публикува ръководство за правилна настройка и управление на Secure Boot функцията в UEFI (Unified Extensible Firmware Interface) с цел обезпечаване на защитата на компютърните устройства в предприятията и бизнеса от зловредни руткит и буткит програми.
Заменил Basic Input Output System (BIOS), UEFI се използва в множество архитектури и осигурява по-широки възможности за настройка, по-добро общо представяне, подобрена защита и поддръжката на повече устройства. SecuityWeek напомнят, че през последните няколко години атаките, които атакуват фърмуера за осигуряването на по-тройно присъствие на зловредните атаки са се увеличили, докато антивирусните продукти продължават често да не се справят със засичането им. Именно тук идва ролята на Secure Boot, който осигурява интеграцията на валидиращи компонентите механизми, за да се възпрат атаки, които експлоатират уязвимости във фърмуера при старт и минимизрат шансовете за успешно компрометиране на системата.
Но, както посочват и от АНС, чести проблеми, възникнали поради несъвместимост, кара много потребители да изключват Secure Boot, което агенцията смята за нежелано. АНС съветва функцията да бъде настроена внимателно, за да бъде отговорено адекватно на нуждите на организацията.
„Настройването помага на администраторите да осъзнаят ползите от защитата срещу зловредни програми преди старта на системата, заплахи от вътрешни страни и срещу информационни масиви в покой. Вместо да я деактивират, администраторите е нужно да я настроят правилно“, пишат от агенцията, допълвайки, че в зависимост от имплементацията, настройката може да изиска инфраструктурите да подписват сами своите собствени драйвери и програми, които се зареждат при старт.
Secure Boot, съветват също така АНС, би трябвало да бъде настроен така че да осъществява проверка на фърмуерните модули, допълнителните устройства и стартиращи образи на операционната система (процес, определян на места като Thorough Mode) и да бъде активиран Trusted Platform Module (TPM) модула, за да се обезпечи интегритета фърмуера и Secure Boot конфигурацията.
Пълният текст на ръководството може да прочетете тук (PDF).
