いずれにしても、NISTはサーバー上のBIOSの新しいセキュリティルールを提案しました( ドラフト標準、pdf )。 以前は、デスクトップBIOSを保護するための同様の標準( pdf )をリリースしていました。
新しいドキュメントは、サーバーハードウェアメーカーとサーバー管理者向けのガイドであり、悪意のあるコードがBIOSに侵入するのを防ぐのに役立つ技術について説明しています。
NISTは、4つの主要なBIOSセキュリティ機能を挙げています。
-新しいファームウェアの信頼性を検証するためにデジタル署名を使用してBIOSを更新するときの認証。
-管理者がマシンの近くに物理的にいて、デジタル署名なしでBIOSを更新する必要があるオプションの安全なローカル更新メカニズム。
-ファームウェアの整合性を保護して、上記の2つに対応しない方法でファームウェアが変更されるのを防ぎます。
-プロセッサまたは他のシステムコンポーネントがBIOS保護を回避するメカニズムがないことを保証する保護機能。
NISTの専門家によると、悪意のあるプログラムによるBIOSの不正な変更は深刻な脅威です。これは、BIOSがシステム内の特権的な位置を占め、オペレーティングシステムの再インストール後もマルウェアが動作し続けるためです。
Windows 8は特別なオプション「セキュアブート」(UEFI)をサポートしていることを思い出してください( http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with- uefi.aspx )許可されていないOSおよびソフトウェアのロードに対する保護。
特別な証明書がUEFIに配置され、UEFIは起動前にブートローダーをチェックします。 マルウェアがブートローダースプーフィングを行う場合、UEFIはシステムの起動を妨げます。