myfreax

为什么 Windows 11 强迫所有人使用 TPM 芯片

为什么 Windows 11 强迫所有人使用 TPM 芯片。可信平台模块 (TPM) 是一种芯片,它可以集成到 PC 的主板中,也可以单独添加到 CPU 中。

7 min read
By myfreax
为什么 Windows 11 强迫所有人使用 TPM 芯片

微软昨天宣布,Windows 11 将需要在现有和新设备上使用 TPM(可信平台模块)芯片。这是多年来一直在进行的重大硬件更改,但微软混乱的沟通方式让许多人对他们的硬件是否兼容感到困惑。什么是 TPM,为什么 Windows 11 还需要一个?

“可信平台模块 (TPM) 是一种芯片,它可以集成到 PC 的主板中,也可以单独添加到 CPU 中,” Microsoft 企业和操作系统安全总监David Weston 解释说。“它的目的是在硬件屏障后面保护加密密钥、用户凭据和其他敏感数据,以便恶意软件和攻击者无法访问或篡改这些数据。”

所以这一切都与安全有关。TPM 通过提供硬件级保护而不是仅提供软件来工作。它可用于使用 BitLocker 等 Windows 功能加密磁盘,或防止针对密码的字典攻击。TPM 1.2 芯片自 2011 年就已存在,但它们通常只广泛用于 IT 管理的商务笔记本电脑和台式机。Microsoft 希望为使用 Windows 的每个人提供相同级别的保护,即使它并不总是完美的。

几个月来,微软一直警告固件攻击正在上升。“我们自己的安全信号报告发现,83% 的企业经历了固件攻击,只有 29% 的企业正在分配资源来保护这一关键层,”韦斯顿说。

New Security Signals study shows firmware attacks on the rise; here’s how Microsoft is working to help eliminate this entire class of threats | Microsoft Security Blog
The March 2021 Security Signals report showed that more than 80% of enterprises have experienced at least one firmware attack in the past two years, but only 29% of security budgets are allocated to protect firmware.

83% 的数字看起来很大,但是当您考虑到存在的各种网络钓鱼、勒索软件、供应链和物联网漏洞时,广泛的攻击范围就会变得更加清晰。勒索软件攻击每周上头条,勒索软件资助更多勒索软件,因此这是一个难以解决的问题。TPM 肯定会对某些攻击有所帮助,但微软依靠现代 CPU、安全启动及其虚拟化保护的组合来真正削弱勒索软件。

微软正在努力发挥自己的作用,特别是因为 Windows 是受这些攻击影响最大的平台。它被全球企业广泛使用,目前有超过 13 亿台 Windows 10 机器在使用。Microsoft 软件一直是成为全球头条新闻的毁灭性攻击的核心,例如与俄罗斯有关的 SolarWinds 黑客攻击和Microsoft Exchange Server 上的Hafnium 黑客攻击。虽然该公司不负责强迫其客户对其软件进行修补,但它正在努力更积极地进行保护。

Move over, SolarWinds: 30,000 orgs’ email hacked via Microsoft Exchange Server flaws
Vulnerabilities in Microsoft’s email server software allowed hackers to access emails from thousands of organizations, including state and local governments, emergency responders, and more.


微软习惯于在硬件和软件方面努力将 Windows 推向未来,而这种特殊的变化并没有得到很好的解释。尽管自 Windows 10 以来,微软一直要求 OEM 提供支持 TPM 芯片的设备,但该公司并没有强迫用户或其许多设备合作伙伴为 Windows 运行这些设备。这就是 Windows 11 真正发生的变化,再加上微软的 Windows 11 升级检查器,它导致了很多可以理解的混乱。

微软的Windows 11 网站列出了最低系统要求,带有兼容 CPU的链接,并明确提到至少需要 TPM 2.0。微软要求人们下载并检查 Windows 11 是否运行的 PC 健康检查应用程序将标记未启用安全启动或 TPM 支持的系统或具有不受官方支持的 CPU 的设备(任何早于第 8 代英特尔芯片)。

Windows 11 是免费的,但您的 CPU 可能不受官方支持
Windows 11 将仅正式支持第 8 代和更新的英特尔酷睿处理器,以及 Apollo Lake 和更新的奔腾和赛扬处理器。这可能会排除数百万现有 Windows 10 设备升级到完全支持的 Windows 11,甚至是微软自己的 Surface Studio 2 等设备
Upgrade to the New Windows 11 OS | Microsoft
Discover the new Windows 11 and learn how to prepare for it. Explore new features, check compatibility, and see how to upgrade to our latest Windows OS.

这让许多人试图弄清楚他们的设备是否支持 TPM,与 BIOS 设置混淆,甚至人们急于购买他们不需要的单独 TPM 模块。有些人甚至在 eBay 上TPM 2.0 模块!

它也没有帮助,微软有两个网页信息矛盾,原始版本,真正的最低要求是 TPM 1.2 和 1GHz 或更高的 64 位双核 CPU,但新页面现在澄清它需要 TPM 2.0 和 Microsoft 明确认证为兼容的处理器—这可能意味着在第 8 代 Intel Core 和 AMD Ryzen 2000 之前的一切都将无法工作。

但这并不意味着您现有的 PC 不走运,只是因为您在使用 Microsoft 的兼容性工具时遇到问题。除非您的 CPU旧。

如果您在使用适用于 Windows 11 的 PC 健康应用检查器时遇到问题,请确保您在 BIOS 中启用了 Intel 的“PTT”,或 AMD 设备上的“PSP fTPM”。

微软在此尝试实现的目标将在未来几年使 Windows 生态系统受益,同时也将在 Windows 上为类似 Xbox 的安全性做出新的努力。微软在第一天就完全放弃了向所有人解释这一点。