NSA: UEFI und Secure Boot einsetzen
Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA
Näheres hier:
https://www.heise.de/news/Empfehlungen-Die-NSA-raet-zu-UEFI-und-Secure-B ...
NSA Bericht
https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-SECURE ...
Näheres hier:
https://www.heise.de/news/Empfehlungen-Die-NSA-raet-zu-UEFI-und-Secure-B ...
NSA Bericht
https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-SECURE ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 605384
Url: https://administrator.de/knowledge/nsa-uefi-und-secure-boot-einsetzen-605384.html
Ausgedruckt am: 31.03.2025 um 05:03 Uhr
8 Kommentare
Neuester Kommentar

Man sollte vielleicht erwähnen, dass gute und hoffentlich sichere UEFI Implementierungen nur eine handvoll Anbieter haben und auch pflegen.
Vorne Dell und HP und Microsoft.
Lenovo würde ich z. B. nicht trauen.
Vorne Dell und HP und Microsoft.
Lenovo würde ich z. B. nicht trauen.

Es geht dabei nicht um die Nationalität.
Wobei,
DELL und HP lassen in der gleichen Fabrik wie Lenovo produzieren.
Anderes Laufband nur...
Ich habe alle 3 als Techniker intensiv auseinander genommen.
Die Dell Zertifikate habe Ich nur als Modell Nummern noch angeführt. Die Zertifikate für diesen Mist sind zuviele. Und bis auf Versicherung und entsprechende Marketing Aussagen nutzlos
DELL und HP lassen in der gleichen Fabrik wie Lenovo produzieren.
Anderes Laufband nur...
Ich habe alle 3 als Techniker intensiv auseinander genommen.
Die Dell Zertifikate habe Ich nur als Modell Nummern noch angeführt. Die Zertifikate für diesen Mist sind zuviele. Und bis auf Versicherung und entsprechende Marketing Aussagen nutzlos

Hallo,
bis Heute hat mich weder UEFI, noch SecureBoot überzeugt. Ich schwöre auf CSM & MBR.
Nur wegen der großen GPT-Partitionen sehe ich keinen Handlungsbedarf, Desktops kriegen max. 256GB SSDs. Dann landen die Dokumente wenigstens da, wo sie hingehören (Fileserver / Backup).
Gruß,
Jörg
bis Heute hat mich weder UEFI, noch SecureBoot überzeugt. Ich schwöre auf CSM & MBR.
Nur wegen der großen GPT-Partitionen sehe ich keinen Handlungsbedarf, Desktops kriegen max. 256GB SSDs. Dann landen die Dokumente wenigstens da, wo sie hingehören (Fileserver / Backup).
Gruß,
Jörg

Kennst
Kennst Du eine Lenovo Truppe die für irgendeine Regierung der Welt, auch unter deren Augen, ständig ihren UEFI Code auditiert?
Es ist fast belanglos, welcher Auftragsfertiger die Hardware wo herstellt, weil alle das so machen. Jedoch ist es nicht ohne Belang dass die Hersteller sehr viel Aufwand für die Härtung ihres Codes betreiben und das unter den Augen von Dritten.
Zitat von @TomTomBon:
Wobei,
DELL und HP lassen in der gleichen Fabrik wie Lenovo produzieren.
Anderes Laufband nur...
Ich habe alle 3 als Techniker intensiv auseinander genommen.
Die Dell Zertifikate habe Ich nur als Modell Nummern noch angeführt. Die Zertifikate für diesen Mist sind zuviele. Und bis auf Versicherung und entsprechende Marketing Aussagen nutzlos
Wobei,
DELL und HP lassen in der gleichen Fabrik wie Lenovo produzieren.
Anderes Laufband nur...
Ich habe alle 3 als Techniker intensiv auseinander genommen.
Die Dell Zertifikate habe Ich nur als Modell Nummern noch angeführt. Die Zertifikate für diesen Mist sind zuviele. Und bis auf Versicherung und entsprechende Marketing Aussagen nutzlos
Kennst Du eine Lenovo Truppe die für irgendeine Regierung der Welt, auch unter deren Augen, ständig ihren UEFI Code auditiert?
Es ist fast belanglos, welcher Auftragsfertiger die Hardware wo herstellt, weil alle das so machen. Jedoch ist es nicht ohne Belang dass die Hersteller sehr viel Aufwand für die Härtung ihres Codes betreiben und das unter den Augen von Dritten.
Ich weiß nur das das alles Aussagen sind.
Und Augenzeugenberichte von PR Agenturen.
Ich kann zum Thema SICHER nichts aussagen.
Davon einmal abgesehen was ist mit intel ME?
Oder, oder oder.
Und es war auch in den Nachrichten mal das auf einem Board zusätzliche Komponenten gefunden wurden die NICHTS dort zu suchen hatten..
Wenn diese Verantwortlichen in der gleichen Fabrik tätig sind wie die 3 Marken, was kann dann die Marke "machen"?
Ja,
eine Lösung ist Hände in die Luft werfen und asgen "alles egal".
Andere ist es die Systeme so einzurichten das nicht irgendeiner ohne Nachfrage, ohne Registrierung etwas machen kann.
Und Augenzeugenberichte von PR Agenturen.
Ich kann zum Thema SICHER nichts aussagen.
Davon einmal abgesehen was ist mit intel ME?
Oder, oder oder.
Und es war auch in den Nachrichten mal das auf einem Board zusätzliche Komponenten gefunden wurden die NICHTS dort zu suchen hatten..
Wenn diese Verantwortlichen in der gleichen Fabrik tätig sind wie die 3 Marken, was kann dann die Marke "machen"?
Ja,
eine Lösung ist Hände in die Luft werfen und asgen "alles egal".
Andere ist es die Systeme so einzurichten das nicht irgendeiner ohne Nachfrage, ohne Registrierung etwas machen kann.

Intel ME ist sehr problematisch. Sicherlich etwas besser geworden und sollte im Aspekt der Sicherheit deaktiviert werden, wenn möglich oder in kritischer Umgebung.
Entscheidend ist, dass die OEMs in der Zusammenarbeit bezüglich der Sicherheit sich so verhalten, wie HP, Dell oder Microsoft.
Entscheidend ist, dass die OEMs in der Zusammenarbeit bezüglich der Sicherheit sich so verhalten, wie HP, Dell oder Microsoft.