Многие поставщики UEFI предлагают пароли загрузки и администратора для локального компьютера.
Для нормальной холодной загрузки или сброса я бы хотел, чтобы система UEFI просто выбрала правильно подписанный загрузчик и продолжила.
Наличие «хорошо известного» пароля администратора для входа в UEFI - это то, с чем я бы предпочел НЕ двигаться дальше.
Однако в идеальном случае, если кто-то получает физический контроль над устройством (и использует социальную инженерию для получения «общеизвестного» пароля для доступа администратора UEFI), я бы предпочел усложнить переоснащение оборудования. Было бы сложно с вычислительной точки зрения (но не теоретически невозможно :-() скомпрометировать систему, которая будет полезна для получения данных, хранящихся в системе (зашифрованных дисков). Но возможно, что наличие пароля администратора UEFI позволит «самозванцу» загрузить недавно подготовленный и подписанный загрузчик.
Одна из идей - использовать что-то вроде RSA SecureID или заставить UEFI выдавать одноразовый код, который должен быть проверен на другом сервере.
Я видел только предложения поставщиков UEFI, которые по сути имеют «открытый текст» для доступа к встроенному ПО, если оно установлено на компьютере. Кто-нибудь сталкивался с поставщиком прошивок UEFI, который вышел за рамки обычного «ввода пароля»?"