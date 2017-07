Soms zijn er nog andere beveiligingsinstellingen beschikbaar, zoals een wachtwoord per harde schijf, een wachtwoord bij herstarten en meer. Kijk zelf even rond in je uefi en kies de geschikte beveiligingsinstellingen.

Een stap om je uefi beter te beschermen tegen aanvallen van buitenaf is door de uefi te beveiligen met een wachtwoord. Op die manier kan een aanvaller in ieder geval niet zomaar de uefi in en op die manier nieuwe firmware flashen. Bij sommige uefi’s kun je dan zelfs Windows niet starten zonder het uefi-wachtwoord in te voeren, wat verdere bescherming biedt tegen andere soorten aanvallen.

De uefi is de ideale plek voor een rootkit. Software daar overleeft eenvoudig een herinstallatie van Windows, het kan het platform onklaar maken en eenvoudig vanuit de uefi de rest van je besturingssysteem overnemen. Hetzelfde geldt voor fysieke aanvallen via usb. Naast softwaremaatregelen die je kunt nemen, is het ook een goed idee om eens te kijken naar hardwarematige bescherming van je poorten.

Er is meer om door te nemen in je uefi. Zorg ervoor dat Intel AMT uit staat. Dat is een groot beveiligingslek waarmee op afstand je pc overgenomen kan worden voor technische ondersteuning. Intel AMT is onderdeel van Intel vPro. Je controleert via https://ark.intel.com eenvoudig met je processor-sku of jouw processor vPro heeft.

Controleer je opstartapparaten in je uefi. Nadat je Windows compleet hebt geïnstalleerd, schakel je, indien mogelijk, alle opstartapparaten uit behalve de schijf waarop Windows staat. Schakel ook de optie uit om je uefi via Windows te updaten, indien beschikbaar. Dat is een beveiligingsrisico, omdat malware zo vanuit Windows vervalste firmware zou kunnen flashen.

Zorg er ook voor dat Secure Boot in je uefi aan staat. Om in Windows te controleren of alles goed is ingesteld, open je PowerShell met administratorrechten en voer je het commando Confirm-SecureBootUEFI. Als je dan True ziet, dan is alles in orde. Zie je False, dan staat het niet aan. Als je een melding krijgt dat de cmdlet niet ondersteund wordt op dit systeem, heeft je pc geen Secure Boot.

In je laptop heb je in de uefi vaak de optie om de microfoon en camera uit te schakelen. Doe dat zodat je niet bespioneerd kan worden en plak dan alsnog een stukje tape over de camera.