UEFI Secure Boot
Een UEFI-BIOS met Secure Boot laadt uitsluitend digitaal ondertekende bootloaders. Om de handtekeningen te herkennen, beschikt de UEFI over een kleine database met digitale handtekeningen van (vooral) Microsoft en de moederbordof pc-fabrikant. Er is ook een database met verdachte handtekeningen die het besturingssysteem kan aanvullen: op die manier wordt het starten van kwaadaardige software via updates geblokkeerd. In principe werkt Secure Boot ook met andere sleutels, maar dat wordt maar in zeer zeldzame gevallen ook echt gebruikt.
Beschermt tegen
• speciale vormen van malware die al direct bij het starten van het besturingssysteem de controle proberen over te nemen.
Beschermt niet tegen
• andere virussen, trojans, etc.
• aanvallen op firmwarefuncties zoals de
management engine van Intel.
Risico's en bijwerkingen
• Een geïnstalleerd besturingssysteem zou de database met sleutels kunnen wijzigen en daarmee het starten van andere besturingssystemen kunnen blokkeren.
• Besturingssystemen zonder ondertekende bootloaders kunnen niet booten met Secure Boot. Dat is met name voor belang voor enkele Linux-distributies. Dit geeft alleen problemen bij pc's waarbij je Secure Boot niet handmatig in het BIOS kunt uitschakelen. In onze ervaring geldt dit eigenlijk alleen maar bij sommige Windows 10-tablets.
• Veel pc-fabrikanten gaan ertoe over uitsluitend Microsoft-handtekeningen in de Secure-Boot-sleuteldatabase van de firmware op te slaan.