Microsoft Surface Pro 3（または最新のPC）でのセキュアブート？

起動プロセス

セキュアブート

Windows 8の起動にはかなりの数の手順があります。一般にセキュアブートとは、ブートローダーが完全性をチェックできる場合にのみ実行されることを意味します。この場合、有効になっていると、 [〜＃〜] uefi [〜＃〜] が最初に開始され、ブートローダーが信頼できる認証局によって署名されていることを確認します。オペレーティングシステムの場合、通常は製造元のみが信頼されます。マイクロソフト。ブートローダーがマイクロソフトによって署名され、UEFIによって検証される限り、ブートローダーが起動します。 UEFIドライバーも検証されます [1] 。

EUFIには、登録済みの信頼できる機関のデータベースが含まれています。ユーザーは、Microsoft以外のオペレーティングシステムをロードできるようにするために、独自の信頼できる機関をこのデータベースに追加できます。

Trusted Platform Modules （TPM）が使用される場所です。 TPMを使用して、キーを格納したり、暗号化/署名/検証ルーチンを実行したりできます。 TPMとUEFIを組み合わせることで、ブートローダーの検証とオペレーティングシステムのロードが可能になります。

Trusted Boot
これで、セキュアブートプロセスの終わりではありません。 OSがトラステッドブート状態になったので、カーネル、システムドライバーなどのロードを開始します。セキュアブートは、システムドライバーが信頼できる認証局（Microsoftなど）。

上の画像の完全な説明

どうして？

ルートキット
起動プロセスの各段階で、特定のコード（ドライバー、システムサービスなど）がオペレーティングシステムに登録されています。ブートプロセスの早い段階でマルウェアがフックする可能性が高くなると、次のことが可能になります。

1. 永続化：再起動時でも、マルウェアは再度有効になります
2. 非表示：オペレーティングシステム（およびアンチウイルス）がそのことに気付かないように、自分自身を密かに保持する位置に配置します。
3. Privileged：自分自身に高い権限を付与し続けます

これらのブートプロセスはすべて、最高の特権で実行されます。これらのローダーを信頼するための安全なメカニズムがなければ、ルートキットは高い権限で自分自身をインストールする可能性があり、システムはそれらが存在することすら認識しません。署名されたブートローダーとシステムサービス/ドライバーを要求すると、ルートキットがシステムに足場を固める可能性が減少します。 これは100％安全であることを意味するのではなく、起動の特定の段階で非常に難しくなるだけです。

邪悪なメイド

Evil Maidは、ハッキングされたブートローダーをシステムにインストールしていたずらやボリュームの復号化に使用されるパスワードのキーログなどを行うためにシステムにインストールできるという前提に基づいています。これはまさにこのプロセスが防止することを意図したタイプの攻撃です。マイクロソフト（またはユーザーが他の誰かを信頼することに決めた場合は他の信頼できる機関）によって署名されていない限り、ここでブートローダーをフラッシュして正常にブートできませんでした。これはかなりありそうにないように思われ、信頼できるサードパーティをEUFIデータベースに追加するのは危険です。

ハードウェアの一部に、ディストリビューターからインストールされた他の信頼できる機関が付属している可能性はありますか？たぶん、しかし、それはまったく別のレベルのパラノイアです。あなたがそのレベルで心配しているなら、あなたはおそらく人生で何か間違ったことをしているでしょう。

ユーザー認証の有効化

上記のガイドでは、Windows 8でTPMを有効にし、パスワードを設定する方法を説明しています。これがタブレットにも当てはまるかどうかはわかりません。