多くの UEFI ベンダーは、ローカル マシンのブート パスワードと管理者パスワードを提供しています。
通常のコールド ブートまたはリセットの場合、UEFI システムが適切に署名されたブートローダーを選択して続行するようにします。
UEFIに入るための「よく知られた」管理者パスワードを持つことは、私にとって好ましいことです。ない前進する。
しかし、理想的なケースでは、誰かがデバイスの物理的な制御権を獲得した場合(そしてソーシャルエンジニアリングを使用してUEFI管理者アクセスの「よく知られている」パスワードを入手した場合)、機器のアクセスをさらに困難にすることを好みます。再利用された侵害されたシステムがシステムに保存されているデータ (暗号化されたドライブ) を取得するのに役立つようにすることは、計算的に困難ですが、理論的には不可能ではありません :-( )。ただし、UEFI 管理者パスワードを持っていると、「詐欺師」が新しくプロビジョニングされ署名されたブートローダーをロードできる可能性があります。
1 つのアイデアとしては、RSA SecureID のようなものを使用するか、別のサーバーでチェックする必要があるワンタイム コードを UEFI から出力させることが挙げられます。
私が目にした UEFI ベンダーの製品には、基本的にマシンのファームウェア IF にアクセスするための「プレーンテキスト」パスワードしかありません。通常の「パスワードを入力してください」を超えた UEFI ファームウェア ベンダーに遭遇した人はいますか?