La BIOS/UEFI se trata del software que trae la placa base dentro de un chip. Desde la BIOS, se puede cambiar la prioridad de arranque, hacer overclock y establecer numerosas configuraciones, entre ellas varias configuraciones de seguridad. En esta guía de protección de la BIOS/UEFI se van a recoger alguna de estas configuraciones.

Las configuraciones a detallar en las siguientes secciones, estan explicadas sobre la versión 2.21.1278 de 2022 de AMI.

Una de las primeras configuraciones que podemos llevar a cabo es colocar una contraseña para el usuario, esta contraseña proporciona una capa de seguridad para que los usuarios eviten el acceso no autorizado a usuarios con acceso a la máquina donde se configure.

En esta misma ventana también se específican las restricciones al momento de crear una contraseña.

1. Primero deberemos entrar en la BIOS, para ello deberemos reiniciar el ordenador y dependiendo de la placa base, pulsar F2 o SUPR. Deberemos pulsar en esta BIOS F7 para entrar en el modo avanzado o clicar sobre la opción.

2. Tras haber clicado la opción o pulsado la tecla mencionada anteriormente, deberemos hacer scroll hasta poder ver la sección de seguridad y clicar sobre ella.

3. Una vez dentro, veremos una pequeña explicación de que hace la contraseña de usuario y la contraseña de administrador. Clicamos sobre la opción de contraseña de usuario.

4. Al haber clicado, nos aparecerá una pequeña ventana para que añadamos la contraseña que queramos definir y repetirla. Una vez definida, simplemente tendremos que guardar la configuración y salir, pero en nuestro caso haremos más configuraciones.

En esta sección indicaremos como definir una contraseña de usuario que, como vemos en los siguientes pasos, no difiere en nada más que la opción donde clicar de la definición de la contraseña para usuario.

1. Si hemos configurado la contraseña de usuario, simplemente deberemos clicar en la misma ventana en contraseña de administrador y si no lo hemos hecho, simplmente deberemos seguir los pasos de la sección anterior pero clicando en contraseña de administrador.

2. Como en la sección de contraseña de usuario, nos aparecerá una ventana para que definamos la contraseña del administrador.

En este apartado se llevará a cabo la desactivación de los dispositivos desde los que se puede arrancar el sistema.

1. Lo primero que deberemos hacer es irnos al menú horizontal y buscar el apartado "arrancar". Clicamos en él para que nos aparezca una serie de configuraciones.

2. Una vez dentro de la pestaña de arrancar, iremos a la sección donde podemos cambiar el orden de arranque. Clicamos en las opciones de arranque que no sean la que arranca desde Windows y la deshabilitamos.

1. Si no hemos deshabilitado los arranques externos, podremos seleccionar el orden de arranque que queremos. Simplemente deberemos clicar en la primera opción dentro de la sección de orden de arranque.

Por ejemplo, podemos seleccionar arranque desde el USB que está conectado al PC o simplemente dejar que arranque desde el disco duro.

Secure Boot es una configuración que podemos añadir a nuestra BIOS para que no se pueda ejecutar código malicioso en el arranque.

1. Vamos a la pestaña arrancar y clicamos sobre la sección de menú de arranque seguro.

2. Una vez dentro, dejamos el tipo de arranque en modo UEFI de Windows y clicamos sobre la opción para configurar el modo de secure boot. Si lo dejamos en estándar, solo usará las claves y configuraciones proporcionadas por el fabricante del Hardware y del Sistema Operativo. Si seleccionamos la opción de custom, podremos definir nuestras propias claves de firma digital.

Hay una opción que tiene mi placa para desactivar cada puerto USB de la misma desde la BIOS. Esto debe ser activado en caso de que nunca vaya a ser conectado dispositivos USB a nuestra máquina.

1. Para llevar a cabo esto, deberemos clicar en la pestaña de opciones avanzadas que se eucnetra en el menú horizontal en la parte superior e ir a la opción USB Configuration.

2. Una vez dentro, nos aparecerá una serie de opciones pero solo nos interesará y clicaremos sobre USB Single Port Control.

3. Nos aparecerá una lista de los puertos USB de nuestra máquina y podremos ir desactivándolos uno a uno.