> Для предотвращения использования [...] загрузчика [...] для загрузки модифицированных
> сторонних систем (например, для обхода механизмов верификации Windows 8), в заверенном
> загрузчике будет реализована контрольная проверка.
> Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную
> подтвердить операцию.ОК. Получается, что вредоносную вирусную подмену загрузчика ОС без ведома пользователя каким-то модифицированным загрузчиком с внедрённым туда руткитом эта фича предотвратит. Потому что в случае нежелательной для пользователя несанкционированной подмены загрузчика ОС без его ведома он при загрузке увидит уведомление, что загрузчик неподписанный, а значит возможно модифицированный зловредом. Разумный пользователь, увидев это, поймёт, что что-то не так (раз он сам не менял загрузчик).
Но объясните мне, как эта фича сможет предотвратить несанкционированный обход "механизмов верификации Windows 8"?
Речь же про взломанную ворованную винду через модифицированный загрузчик?
Вот поставил юзер себе взломанную винду, скачанную с торрентов. Для загрузки этой взломанной винды используется модифицированный загрузчик, не подписанный Microsoft. Пользователь по инструкции из интернетов сначала ставит подписанный загрузчик от Linux Foundation (для верифицированной безопасной загрузки из UEFI), а тот в свою очередь передаёт загрузку (может даже через GRUB2) модифицированному взломанному загрузчику крякнутой Windows 8. При этом при загрузке у пользователя выскочит алёрт, что загрузчик системы, которому передаётся процесс загрузки, неподписан. Но в нашем же сценарии пользователь об этом и так знает (он же сам ставил взломанную винду), поэтому он просто жмёт ОК и грузится дальше.
А как ему надоест жать ОК при каждой загрузке, так он и вовсе сам сгенерирует подпись для этого взломанного виндового загрузчика и пропишет соответствующую сигнатуру в UEFI Setup, чтобы загрузчик уже считался подписанным доверенной подписью (в заметке описана такая возможность с самоподписанными загрузчиками).
Получается, ваш пример с противодействием загрузке взломанной винды некорректен.