Das BIOS ist tot, es lebe UEFI
Alles, was Sie über UEFI-BIOS wissen müssen
Fortsetzung des Artikels von Teil 5
Auf Nummer sicher
Die UEFI-Spezifikation enthält auch einige Sicherheitsmechanismen, die mit der aktuellen Spezifikation 2.3.1 noch einmal erweitert wurden. SecureBoot sorgt dafür, dass nur signierte Betriebssysteme gestartet werden, für die ein Schlüssel in der Firmware des Rechners existiert.
Damit kann verhindert werden, dass ein Schädling den Bootsektor eines Rechners infiziert oder dass ein PC mit einem anderen Betriebssystem gestartet wird, um etwa den Passwortschutz oder eine Verschlüsselung auf dem eigentlich installierten OS zu knacken.
Die Schlüssel werden vom Hersteller des Rechners vergeben; sie bestimmen auch, welche Schlüssel für welche Betriebssysteme vorhanden sind und ob SecureBoot abgeschaltet werden kann. Ein TPM ist für SecureBoot nicht notwendig. Er wird von dem noch sicheren MesuredBoot verwendet.
Hier wird auch der Start des Betriebssystems mit überwacht und mit aufgezeichneten und im TPM gespeicherten Werten verglichen. Mögliche Schädlinge werden an der Ausführung gehindert, weitere Schritte übernimmt dann eine Anti-Malware-Software, sobald die gestartet ist.
Für die sichere Anmeldung am Rechner kann UEFI nun auch Geräte wie Fingerprint-Reader unterstützen. Dabei kann bei entsprechender Unterstützung durch das Betriebssystem auch gleich die Anmeldung des Anwenders dort mit erfolgen.
Um die UEFI-Firmware selbst zu schützen, können für ein Firmware-Update nur signierte Images verwendet werden. Die Installation kann entweder über eine Applikation bei laufendem Betriebssystem und anschließendem Neustart oder von einem vorbereiteten USB-Stick erfolgen.
- Alles, was Sie über UEFI-BIOS wissen müssen
- Die Evolution der Firmware
- Eine Frage der Kompatibilität
- Die Struktur von UEFI
- Shell, Applikationen, Bootmanager
- Auf Nummer sicher
- UEFI in der Praxis
- UEFI und Windows 8
- Linux ausgesperrt?
- Die Entstehung von UEFI
- Windows 7 auf UEFI-Rechnern installieren
