Собственно, имеются ли средства в UEFI для контроля за вставленными PCI-e устройствами? Учитывая, что PCI-e имеет DMA и может погрузить ACPI-байткод, при загрузке исполнить oprom (в котором, при самом лучшем раскладе, поиметь защиту и в SMM внедрить зловреда), то очень бы не хотелось таких внезапностей.
На текущий момент на ум приходят только военные биосы и TPM (там есть PCRы, отвечающие за оборудование. в таком случае ОС просто не может расшифровать свой раздел).