安全专家发现,部分MSI主板上的BIOS/UEFI提供了安全引导,但只能满足运行Win11系统的要求。即使用户选择启用安全引导,实际上也是禁用的,这意味着存在运行恶意软件的风险。
在受影响的MSI主板上,提供了开启/关闭安全引导功能的选项,镜像执行策略的默认值为“始终执行”。但问题是这个功能开启后并没有检查启动的操作系统镜像,所以可以启动未签名的组件。
安全专家大卫·波托克写道:
MSI在BIOS/UEFI菜单中提供的默认设置令人失望,即使启用也不会生效。它的存在只是为了满足运行Win11的要求。操作系统不会知道安全引导实际上是否启用,它可以在检测到“启用”后跳过它。
IT之家的小教室:
安全启动是由计算机行业成员开发的安全标准,有助于确保设备仅由原始设备制造商信任的软件启动。当计算机启动时,固件会检查每个启动软件段的签名,包括UEFI固件驱动程序(也称为option ROM)、EFI应用程序和操作系统。如果签名有效,计算机将启动,固件将控制转移到操作系统。
OEM可以使用固件制造商提供的说明来创建安全的启动密钥,并将其存储在计算机固件中。添加UEFI驱动程序时,您还需要确保这些驱动程序经过签名并包含在安全引导数据库中。
更新:
经网友提醒,微星已做出回应。另外,据Wccftech了解,其他一些品牌主板的某些BIOS版本也有类似情况。
微星在其主板产品中实现了安全引导机制,并遵循了Windows 11发布前微软和AMI定义的设计准则。
默认情况下,MSI启用安全引导,并将“始终执行”作为默认设置选项,以提供一个用户友好的环境,允许多个最终用户灵活地使用数千个组件构建他们的PC系统,包括其内置的选项ROM,包括操作系统映像,以实现更高的兼容性配置。
对于高度关注安全性的用户,他们仍然可以手动将“映像执行策略”设置为“拒绝执行”或其他选项,以满足他们的安全需求。
针对有关预置BIOS设置安全问题的报告,微星将为我们的主板推出新的BIOS文件,并将“拒绝执行”作为更高安全级别的默认设置。
MSI还将在BIOS中为最终用户保留一个全功能的安全启动机制,以便他们可以根据自己的需要修改它。
免责声明:该文章系本站转载,旨在为读者提供更多信息资讯。所涉内容不构成投资、消费建议,仅供读者参考。
