微星主板的 Secure Boot 形同虚设：只为满足微软 Win11 需要，存在运行恶意代码风险

CTOnews.com 1 月 22 日消息，安全专家发现部分微星主板上的 BIOS / UEFI 虽然提供了 Secure Boot，但只是为了满足运行 Win11 系统的要求。即便用户选择启用 Secure Boot，实际上仍处于禁用状态，意味着存在运行恶意软件风险。

在受影响的微星主板上提供了开启 / 关闭 Secure Boot 功能的选项，Image Execution Policy 的默认值为"Always Execute"。但问题是开启这项功能之后并未检查引导的操作系统镜像，因此可以引导未经签名的组件。

安全专家达维德・波托克（Dawid Potock）写道：

微星在 BIOS / UEFI 菜单中提供的默认设置令人失望，即便启用也不会生效。它只是为了满足运行 Win11 要求而存在的，操作系统不会知道 Secure Boot 实际上是否启用，在监测到"已启用"之后就可以跳过。

CTOnews.com小课堂：

安全启动是电脑行业成员开发的一种安全标准，用于帮助确保设备仅使用受原始设备制造商 (OEM) 信任的软件进行启动。当电脑启动时，固件会检查每个启动软件片段的签名，包括 UEFI 固件驱动程序（也称为选项 ROM）、EFI 应用程序和操作系统。如果签名有效，则电脑将会启动，而固件会将控制权转递给操作系统。

OEM 可以使用固件制造商提供的指令创建安全启动密钥，并将其存储在电脑固件中。添加 UEFI 驱动程序时，还需要确保这些驱动程序已签名并包含在安全启动数据库中。

更新：

经网友提醒，微星已经做出回应。另外据 Wccftech 称，部分其他品牌主板的特定 BIOS 版本也有类似情况。

微星在其主板产品中实施了 Secure Boot 机制，遵循了微软和 AMI 在 Windows 11 发布之前定义的设计指南。

微星默认情况下启用 Secure Boot，并将"Always Execute"作为默认设置选项，以提供一个用户友好的环境，允许多个最终用户灵活地使用数千（或更多）组件构建他们的 PC 系统，这些组件包括他们的内置选项 ROM，包括操作系统镜像，从而实现更高的兼容性配置。

对于高度关注安全性的用户，他们仍然可以手动将'Image Execution Policy'设置为'Deny Execute'或其他选项来满足他们的安全需求。

为了响应有关预设 BIOS 设置的安全问题的报告，MSI 将为我们的主板推出新的 BIOS 文件，并将"Deny Execute"作为更高安全级别的默认设置。

微星还将在 BIOS 中为最终用户保留一个功能齐全的安全启动机制，以便他们可以根据自己的需要对其进行修改。