Muitos fornecedores de UEFI oferecem senhas de inicialização e de administrador para uma máquina local.
Para uma reinicialização ou reinicialização a frio normal, gostaria que o sistema UEFI simplesmente escolhesse o carregador de inicialização devidamente assinado e prosseguisse.
Ter uma senha de administrador "bem conhecida" para acessar o UEFI é algo que eu prefiro que NÃO avance.
No entanto, no caso ideal, se alguém obtiver o controle físico de um dispositivo (e tiver usado a engenharia social para obter a senha 'bem conhecida' para o acesso de administrador da UEFI), prefiro tornar mais difícil que o equipamento seja re-proposto . Seria computacionalmente desafiador (mas não teoricamente impossível :-() um sistema comprometido ser útil para adquirir dados armazenados no sistema (unidades criptografadas) .Mas é possível que ter a senha de administrador UEFI permitiria que um "impostor" carregar um gerenciador de inicialização recém-provisionado e assinado.Uma ideia é usar algo como RSA SecureID ou ter o UEFI cuspindo um código de tempo único que precisa ser verificado em outro servidor.
Eu só vi ofertas de fornecedor de UEFI que têm essencialmente uma senha de "texto simples" para acessar o firmware SE na máquina. Alguém encontrou um fornecedor de firmware UEFI que foi além do normal "digitar a senha?"
Tags boot security uefi secure-boot passwords