Win8采用受信任啟動保障用戶安全

操作系統有義務為每一位消費者提供可信的計算和安全的服務，保護消費者的切身利益。在安全這個話題上，大多數消費者都有一個概念，對於 Windows 系統，我們登錄賬戶以後，可以安裝殺毒軟件保障系統運行時候的安全。那麼對於開機和啟動階段呢？這一塊的保護一直是塊空白，直到Win8的出現。

    Windows8 為保障用戶計算機啟動階段的安全，它配合了新的 UEFI 固件，實施了受信任啟動技術。（UEFI 這個詞的熱度在網絡上日漸升溫，它是將取代 BIOS 的更強大的系統與硬件的接口，例如有了它，我們可以利用 GPT 格式磁盤，從大於 2.2 TB 的硬盤分區啟動，以及可以驗證啟動文件的簽名等等。）

    

    由上圖可以看出，微軟 Windows 8 在開機、系統引導、內核啟動到用戶登錄這個完整的啟動過程中，實施了三處安全保障：

    1. 安全啟動：圖中標1的位置，即開機初期啟動組件的簽名檢查，可防止預啟動管理器組件被篡改。

    2. 測量的啟動：圖中標2的位置，即聯合 TPM 以記錄啟動組件和活動。（需主板配有 TPM 模塊）

    3. 開機初期啟動的反惡意軟件：圖中標3和4的位置，即注冊並加載反惡意軟件驅動程序作為受信任的啟動關鍵驅動程序，以在啟動進程中先於之前的體系結構來保護 系統。簡言之，就是殺毒軟件可以在登錄前的啟動階段提前運行，它運行後，自然就可以開始掃描後續仍在啟動階段加載的各種程序。

    以上三點聯合起來，我們稱之為"受信任啟動"技術，因為將安全啟動、測量的啟動及開機初期啟動的反惡意軟件三者有機地結合，有助於使系統處於可受用戶信任的狀態。

    所以在 Win8 中，操作系統已經對使用電腦的各個階段進行了全方位的防護，用戶的體驗會比以往更加安全。這裡唯一剩下的缺口在於操作系統所不能控制的 UEFI 固件的強健性，希望各大廠商能夠在使用 UEFI 替代 BIOS 的時候，確保自己所使用的 UEFI 是強健的，這樣，惡意軟件便不能攻破 UEFI，這才能讓從開機到登錄的過程真正安全。