Viele UEFI-Anbieter bieten Start- und Administratorkennwörter für einen lokalen Computer an.
Bei einem normalen Kaltstart oder Reset möchte ich, dass das UEFI-System einfach den ordnungsgemäß signierten Bootloader auswählt und fortfährt.
Ein "bekanntes" Administratorkennwort für den Zugriff auf das UEFI ist etwas, das ich bevorzugen würdeNICHTweitermachen mit.
Im Idealfall jedoch, wenn jemand die physische Kontrolle über ein Gerät erhält (und Social Engineering verwendet hat, um das „bekannte“ Passwort für den UEFI-Administratorzugriff zu erhalten), würde ich es vorziehen, es besonders schwierig zu machen, die Geräte zuumfunktioniert. Es wäre rechnerisch anspruchsvoll (aber nicht theoretisch unmöglich :-( ), wenn ein kompromittiertes System zum Abrufen von auf dem System gespeicherten Daten (verschlüsselte Laufwerke) verwendet werden könnte. Es ist jedoch möglich, dass ein „Betrüger“ mit dem UEFI-Administratorkennwort einen neu bereitgestellten und signierten Bootloader laden könnte.
Eine Idee besteht darin, etwas wie RSA SecureID zu verwenden oder das UEFI einen Einmalcode ausgeben zu lassen, der mit einem anderen Server verglichen werden muss.
Ich habe nur Angebote von UEFI-Anbietern gesehen, die im Wesentlichen ein Klartext-Passwort für den Zugriff auf die Firmware-IF auf der Maschine haben.Ist irgendjemandem ein UEFI-Firmware-Anbieter begegnet, der über das normale „Geben Sie das Passwort ein“ hinausgeht?