EFI Preboot Guidelines for HP Business Notebooks / Desktops and UEFI Secure Boot for Windows 8

セキュアブート

ここでは、Win8 ロゴの要件に適合する UEFI BIOS の設計要件を説明するとともに、HP のプリインストールとサービス

に必要な条件についても紹介します。セキュアブートとは、認証済みのコードのみをプラットフォームで実行できるよう

にする機能で、ファームウェアがポリシーに基づいて OS ローダーのパブリッシャーを検証し、信頼できない OS の起

動を防止する役割を担います。これはルートキット攻撃を軽減することを目的としています。

図 1: UEFI セキュアブートのフロー

 ファームウェアは、ポリシーに基づいて信頼できる署名付き OS ローダーのみを起動します。

 OS ローダーは以降の OS コンポーネントの署名検証を実行します。

図 2: Win8 セキュアブートのフロー

 BIOS がエンティティに制御を引き渡す前に、ブート可能なすべてのデータの認証が必要となります。

 UEFI BIOS は OS ローダーの署名をロード前にチェックし、署名が有効でない場合は、プラットフォームのブートを停

止します。

ファームウェアポリシー

Win8 セキュアブートのサポートに不可欠なファームウェアポリシーは 2 つあり、これらのポリシーはノートブックとデ

スクトップで異なっています。

セキュアブート (ノートブックおよびデスクトップ)

 無効

 有効

[Secure Boot (セキュアブート)]を[Enable (有効)]に設定すると、BIOS は OS をロードする前にブートローダーの署名を

検証します。

ブートモード (ノートブックのみ)

 レガシー

 Compatibility Support Module (CSM) を使用する UEFI ハイブリッド

 CSM を使用しない UEFI ネイティブ

[Secure Boot (セキュアブート)]を[Enable (有効)]に設定すると、BIOS は OS をロードする前にブートローダーの署名を

検証します。

ノートブックのブートモードを「レガシー」に設定するか、UEFI ハイブリッドサポートの設定を「有効」にすると、CSM が

ロードされ、セキュアブートが自動的に無効になります。

ネイティブUEFI

検証済みOS

ローダー

(例: Win 8)

OS起動

UEFI

Win8 OS

ローダー

カーネル

インストール

マルウェア

対策ソフト

ウェア起動

サード

パーティ製

ドライバー