UDK2010.SR1 PCD的安全開機策略

1.3 UDK2010.SR1 PCD的安全開機策略

OEM與IBV可以客制劃它們平台的影像檔驗證策略，經由忽視系統預設策略值評估，為了各個裝置型態(硬碟、隨身碟或是Option ROM)在它們平台的DSC檔案。這必須是完成在建立這影像檔以前。此系統預設值被設定在SecurityPkg.dec檔案的[PcdsFixedAtBuild]區中。

下面是PCD的:
gEfiSecurityPkgTokenSpaceGuid.PcdOptionRomImageVerificationPolicy
gEfiSecurityPkgTokenSpaceGuid.PcdRemovableMediaImageVerificationPolicy
gEfiSecurityPkgTokenSpaceGuid.PcdFixedMediaImageVerificationPolicy

可行的策略有:
ALWAYS_EXECUTE: 
總是信任可執行。允許它去執行。
NEVER_EXECUTE: 
從不信任可執行。不允許它去執行。
ALLOW_EXECUTE_ON_SECURITY_VIOLATION: 
執行影像檔，它被完全地簽署，但它們的簽章沒有被發現在授權的資料庫或被找到在禁用資料庫。
DEFER_EXECUTE_ON_SECURITY_VIOLATION: 
延遲執行og影像檔，那是完全地簽署，但它的簽章沒有被發現在授權的資料庫或被找到在禁用資料庫，與加入一個記錄在影像檔執行資訊表格裡，像定義在UEFI規格書的27章。
DENY_EXECUTE_ON_SECURITY_VIOLATION: 
不執行影像檔，那是完全地簽署，但它的簽章沒有被發現在授權的資料庫或被找到在禁用資料庫，與加入一個記錄在影像檔執行資訊表格裡。

QUERY_USER_ON_SECURITY_VIOLATION:
詢問使用者對於一個判定當一個影像檔被正確地簽署，但它的簽章沒有被發現在授權的資料庫或被找到在禁用資料庫，與加入一個記錄在影像檔執行資訊表格裡，是否使用者沒有允許影像檔執行。目前我們使用UI彈出視窗，像詢問方式一樣。

對於模式資訊， 請看"影像檔授權流程"。

這些值對於這些策略設定是：
ALWAYS_EXECUTE                                                      0x00000000
NEVER_EXECUTE                                                         0x00000001
ALLOW_EXECUTE_ON_SECURITY_VIOLATION        0x00000002
DEFER_EXECUTE_ON_SECURITY_VIOLATION         0x00000003
DENY_EXECUTE_ON_SECURITY_VIOLATION          0x00000004
QUERY_USER_ON_SECURITY_VIOLATION               0x00000005