Windows 11需要一台装有 TPM 2.0 的电脑。那么您的 PC 是 TPM 2.0、TPM 1.2 还是以上都没有?您的 PC 是否在其 BIOS 中禁用了 TPM?您是否需要购买 TPM 硬件模块?为什么 Windows 甚至首先需要 TPM?

什么是 TPM?

TPM 代表“可信平台模块”。它是一种在硬件级别提供安全相关功能的技术。它以防篡改的方式生成和存储加密密钥并执行功能。它提供了针对恶意软件和其他类型攻击的额外保护。

在一篇博文中,微软解释说 Windows 11 系统都将拥有“硬件信任根”。TPM 是计算机核心的防篡改元素,可用于安全功能,如磁盘加密Windows Hello安全生物识别登录。

TPM“证明”可用于远程验证硬件和软件。TPM 有一个独特的背书密钥 (EK) 刻录到硬件中。组织可以远程检查和验证设备是否与它所说的一样,并且硬件和软件没有被篡改。例如,这对于管理一组工作笔记本电脑的公司可能特别有用。

TPM 包括 系统也可以依赖的硬件随机数生成器现代智能手机具有执行特定功能的安全芯片,那么计算机为什么不应该呢?

为什么 Windows 11 需要它?

下面是一个示例:BitLocker 加密可以将加密密钥存储在 TPM 中以保护您的文件。当您的计算机启动时,存储在 TPM 中的密钥用于解锁您的驱动器。如果攻击者猛拉您的系统驱动器并将其插入另一台计算机,如果没有存储在 TPM 中的密钥,攻击者将无法解密它并访问您的文件。TPM 具有防篡改功能,因此攻击者无法将其插入另一台计算机或轻松从中提取解密密钥。

即使在 Windows 10 上,如果没有 TPM,BitLocker 通常也无法工作。如果所有 Windows 11 电脑都有 TPM,那么所有 Windows 11 电脑都可以原生支持设备加密。这比某些 Windows 10 PC 带有磁盘加密而其他不包含加密的情况要好得多。

TPM 将为每个 Windows 11 系统提供一个硬件安全基线,供 Microsoft 构建。Windows 11 始终可以假设它具有此硬件安全基线。微软不必在 Windows 11 上构建基于软件的黑客攻击,也不必在许多 PC 上禁用磁盘加密等重要功能。

为什么 TPM 1.2 不够好?

在 Windows 11 发布后的几天里,微软的消息无处不在。最初,微软的Windows 11 兼容性页面表示,某些带有 TPM 1.2 的系统将能够升级。后来,微软编辑了该页面并表示需要 TPM 2.0。

一个微软的网页可追溯至2018点了各种安全优势TPM 2.0拥有TPM 1.2,包括更现代的加密算法的支持。由于 TPM 2.0 具有这些优势,并且已经流行了好几年,微软显然认为需要 TPM 2.0 是有道理的。

自 2016 年以来,微软要求在一些新 PC 上安装 TPM

几年来,Microsoft 一直要求在 Windows 10 PC 上安装 TPM 2.0。

自 2016 年 7 月 28 日起,所有新制造的 Windows PC 都要求默认启用 TPM 2.0。如果您要购买预装 Windows 10 的笔记本电脑、台式机、二合一设备或任何其他设备,Microsoft 要求制造商包含 TPM 2.0 并启用它。

但是,这是计算机制造商在 PC 上许可和运送 Windows 的要求。如果您正在构建自己的计算机,则可以购买不带 TPM 硬件的主板并在其上安装 Windows 10。或者,您的主板制造商可能在发货时禁用了 TPM。

如果没有 TPM,Windows 10 可以正常运行,而 Windows 11 将拒绝安装在这样的系统上。

你的电脑有 TPM 吗?是否已禁用?

如果您在 2016 年或之后购买了配备 Windows 10 的 PC,则它很有可能已经启用了 TPM 2.0 — 除非该型号最初是在截止日期之前制造的。

如果您的 PC 早于此,则它可能具有也可能不具有 Windows 11 所需的 TPM。许多 PC 已从 Windows 7 更新到 Windows 10,这些 PC 很可能会因此要求而落后。

然而,自己组装电脑的人——包括很多电脑游戏玩家的人群——可能会处于一种奇怪的境地。如果您构建了自己的 PC(或从为您构建它的公司购买),则您的 PC 可能有也可能没有 TPM 2.0。即使 Windows 说 TPM 2.0 不存在,它也可以默认禁用,您可能需要在计算机的 BIOS 中启用它。

要找到答案,您可能需要访问计算机的 BIOS(从技术上讲,现在是现代计算机上的 UEFI 固件设置屏幕,但通常仍称为 BIOS)并查找名为“TPM”的选项或启用此功能的类似选项。

某些计算机具有基于固件的 TPM。英特尔将此功能称为 iPPT(英特尔平台保护技术),而 AMD 将其称为 fTPM(固件可信平台模块)。您可能需要在 BIOS/UEFI 设置屏幕中找到一个类似这样的选项。它也可以被称为其他名称——有关更多信息,请查阅您的主板手册。

许多拥有较新 PC 的人很有可能无需购买单独的 TPM 硬件模块即可在 BIOS 中启用 TPM 2.0 —黄牛已经购买了该组件。但是,某些游戏主板未包含此功能,因此可能无法使用。在微软宣布之前,这是 Windows 11 所必需的,但对于构​​建自己的 PC 的人来说,这并不一定被认为是必须具备的功能。

微软让情况变得一团糟

将 TPM 2.0 作为 Microsoft 可以围绕其设计的硬件安全基线的要求是有道理的。请记住,Microsoft 将在 2025 年 10 月 14 日之前继续支持 Windows 10, 因此您可以在未来几年继续使用您当前的计算机和操作系统。

再一次,真正的问题是微软的沟通不畅。例如,如果微软警告人们有一天会需要 TPM 2.0,主板制造商可能不会吝啬将其添加到游戏板上。PC 爱好者会确保他们的构建具有 TPM。硬件制造商可以默认启用它,而不是默认禁用它。微软可能会说它向其硬件合作伙伴发送了这个信号,但许多主板制造商显然没有得到这个消息。

Windows 11 的发布也是一团糟:微软最初表示将部分支持 TPM 1.2,然后改变了主意。微软甚至没有费心去解释为什么需要 TPM 一开始。在微软试图为升级大肆宣传后,官方 PC 健康检查工具神秘地失败了,但没有告诉人们为什么他们的 PC 不受支持

Microsoft 也可以解释这种情况并提供有关在您的计算机的 BIOS 中启用 TPM 2.0 的信息——但该公司没有做任何这些。

11-25 05:05