Parece que você já entendeu a criptografia de todos os discos, então não vou entrar nisso.
Corretamente configurado, um Trusted Platform Module pode protegê-lo de certos tipos especializados de malware. Algum malware particularmente desagradável reescreve seu bootloader para um dos dois propósitos:
- Faça coisas ruins antes que qualquer aplicativo antivírus possa fazer algo sobre isso. Exemplo: TLD4
- Virtualize todo o sistema operacional para que ele possa espionar tudo o que você faz, sem ser detectável por meios normais (por exemplo, é muito difícil para o sistema on-line detectar que essas coisas estão acontecendo). Exemplo: Blue Pill
Os TPMs podem protegê-lo deles estabelecendo uma cadeia de confiança: verificando o carregador de boot, que pode então iniciar uma solução antimalware aprovada (Antes de lançar o antimalware ), que então o protege de vírus normais. É aqui que entra o nome "Trusted Platform Module"; o TPM verifica se a plataforma do seu sistema operacional não foi adulterada.
Se o carregador de inicialização tiver sido modificado (ou seja, não estiver assinado por uma autoridade confiável), o TPM poderá se recusar a fornecer as informações necessárias para inicializar o sistema e você precisará reparar a instalação do sistema operacional manualmente. Essa proteção é conhecida como Inicialização Confiável.
Quando o sistema operacional estiver ativo e funcionando, sua proteção deve ser fornecida por um programa anti-malware normal. Um TPM não pode impedir você de ser infectado por vírus normais.
Inicialização Segura
A UEFI tem um recurso chamado Inicialização Segura que faz algo semelhante e não envolve necessariamente o TPM ( Fonte do TechNet ):
Secure Boot does not require a Trusted Platform Module (TPM).
Inicialização Segura e Inicialização Confiável não são a mesma coisa! A Inicialização Confiável fornece detalhes do processo de inicialização para o SO, enquanto a Inicialização Segura apenas verifica o carregador de inicialização antes de iniciá-lo. Sistemas operacionais modernos - Windows a partir do Windows 8, a maioria das distribuições do Linux - suportam o Secure Boot. Os detalhes sobre como configurá-lo variam com base no firmware da máquina e no sistema operacional, mas geralmente há uma configuração "Inicialização segura" bastante óbvia nas telas de configuração da máquina.
Referências: Segurança de inicialização do Windows 8.1 , Ativando a inicialização segura no Windows 8 . Processo de inicialização do Windows 8.1 , Inicialização segura UEFI e TPM