OverLord

不過，它對(duì)基礎(chǔ)安裝、使用的要求卻惹來了一些麻煩：Windows 11的最低系統(tǒng)安裝要求時(shí)鐘頻率大于 1GHz的雙核心處理器、4GB內(nèi)存和64GB存儲(chǔ)空間，乍一看似乎很低，實(shí)際上并非如此。根據(jù)微軟官方人士的說法，實(shí)際上CPU需要達(dá)到“英特爾第八代處理器和AMD Zen 2以及高通7和8系列的設(shè)備將滿足其圍繞安全性和可靠性的原則，以及Wi ndows 11的最低系統(tǒng)要求”。注意這句話的后半句——“滿足其圍繞安全性和可靠性的原則”，這就是根本所在了。具體到處理器是否支持Windows 11，可以參考微軟提供的頁(yè)面進(jìn)行對(duì)照。Intel處理器支持列表地址是：https：//docs.microsoft.com/enus/windows-hardware/design/minimum/supported/windows-11-supported-intelprocessors，AMD處理器的支持列表地址是：https：//docs.microsoft.com/en-us/windows-hardware/design/minimum/supported/windows-11-supported-amd-processors。

所謂的滿足安全性要求，其實(shí)是Windows 11對(duì)安全性提升的一個(gè)重大變化，電腦系統(tǒng)必須具備TPM 2.0的安全加密芯片才可以安裝Windows 11。那么，這個(gè)TPM究竟是什么，會(huì)讓微軟“下狠心”必須要求軟硬件結(jié)合才可以安裝使用新版操作系統(tǒng)？要知道，以往從來都只是對(duì)系統(tǒng)性能有要求的。

如何檢測(cè)TPM？

首先先來看看，Windows 11對(duì)電腦TPM芯片的支持與否，我們沒有單純的列表可以參考，但是微軟提供了一個(gè)檢測(cè)工具PCHealth Check，它可以檢測(cè)電腦是否可以符合標(biāo)準(zhǔn)，不過它提供的信息相當(dāng)有限，只顯示“能否安裝”，具體信息看不到。

好在，有熱心的網(wǎng)友制作了更為詳盡信息的檢測(cè)工具，供大家進(jìn)行檢測(cè)。首先，下載檢測(cè)工具WhyNotWin11（下載地址：http：//www.xitongzhijia.net/soft/216696.html），下載后直接雙擊運(yùn)行即可。它的細(xì)項(xiàng)非常完備，包括構(gòu)架、引導(dǎo)方式、CPU兼容性、CPU的核心及頻率、內(nèi)存大小、安全引導(dǎo)、存儲(chǔ)空間以及最重要的TPM版本。如果檢測(cè)可以安裝Windows 11，所有項(xiàng)目應(yīng)該是全部為綠色的OK圖示。

其中，最重要的是TPM芯片的支持與否，這分三種情況，第一種是完全符合要求，自然檢測(cè)結(jié)果是綠色的OK圖標(biāo);第二種和第三種都是紅色的“×”圖標(biāo)，但是會(huì)有不同的可能性，一種是主板帶有TPM模塊但是沒有正確開啟，需要在BIOS中設(shè)置選擇生效;另一種則主板帶有TPM芯片也正確開啟，但是TPM芯片版本比較老，只是1.2版本而非Windows 11要求的TPM 2.0版本;最后一種是根本沒有TPM芯片，這就需要額外的升級(jí)安裝，或者是干脆無(wú)法符合要求。

如果其他硬件配置完全沒問題，只想了解TMP 2.0是否開啟，其實(shí)在Windows10的設(shè)備管理器中尋找是否有“安全設(shè)備-受信任的平臺(tái)模塊2.0”即可。

為什么要強(qiáng)制TPM？

很多人可能會(huì)好奇，Intel為何要在Windows 11上強(qiáng)制要求TPM芯片。其實(shí)，這不是微軟第一次要求使用更嚴(yán)格的安全措施。早在2004年，微軟就推出了一個(gè)臨時(shí)代號(hào)為“基石（Cornerstone）”的安全項(xiàng)目（注：后發(fā)展為“下一代安全計(jì)算基礎(chǔ)”，縮寫為NGSCB）。

其中的成果之一BitLocker——這個(gè)最早集成于Windows Vista開始的安全加密措施，就是基于TPM的。BitLocker最重要的作用是可以在解密受保護(hù)的卷之前驗(yàn)證引導(dǎo)和系統(tǒng)文件的完整性，如果驗(yàn)證失敗，會(huì)禁止用戶訪問受保護(hù)的系統(tǒng)。但是，這個(gè)功能一直以來都不帶有強(qiáng)制性，只是作為一種可以選擇的方式存在于從Windows Vista、Windows 8、Windows 10系統(tǒng)上。

那么，為什么微軟在這次Windows 11上如此執(zhí)拗的要求TPM芯片的必要性呢？筆者認(rèn)為，一方面信息安全的重要性日益提升，對(duì)于微軟來說，如何為用戶提供更為完善的安全加密措施是必須考慮的事情;另一方面，就必須考慮到業(yè)界整體的技術(shù)發(fā)展動(dòng)態(tài)。這就不得不提微軟的競(jìng)爭(zhēng)對(duì)手、也是世界另一個(gè)主要操作系統(tǒng)的擁有者——蘋果公司了。

蘋果在前幾年開始廣泛使用T2芯片作為自己電腦產(chǎn)品的標(biāo)配。它的全稱為T2安全芯片，主要功能就是為Mac系列的數(shù)據(jù)安全保駕護(hù)航。與此同時(shí)，他也有著一個(gè)充當(dāng)類似于M系列處理器的一個(gè)協(xié)處理器作用。它的主要作用就是保護(hù)數(shù)據(jù)安全，簡(jiǎn)單來說，就是將電腦上的所有硬件上了一把鎖，所有硬件都是鑰匙的一部分，一旦發(fā)現(xiàn)鑰匙少了一塊，就無(wú)法打開。T2芯片可以實(shí)現(xiàn)加密功能，用戶可以通過設(shè)置，使用三種安全啟動(dòng)項(xiàng)和選項(xiàng)，以確保設(shè)備不會(huì)被篡改。這樣一來，設(shè)備就能夠更大程度實(shí)現(xiàn)安全性，給專業(yè)工作帶來安全保障。

TPM可以做什么？

TPM芯片究竟是如何幫助系統(tǒng)廠商來實(shí)現(xiàn)“信息安全”的？這要從它的“身世”說起。TPM，全稱為Trusted PlatformModule，即可信平臺(tái)模塊，它是一項(xiàng)安全密碼處理器的國(guó)際標(biāo)準(zhǔn)，旨在使用設(shè)備中集成的專用微控制器（安全硬件）處理設(shè)備中的加密密鑰。早在1999年10月，多家企業(yè)聯(lián)合發(fā)起成立可信賴運(yùn)算平臺(tái)聯(lián)盟（TrustedComputing Platform Alliance，TCPA），初期加入者有康柏、HP、IBM、英特爾、微軟等，該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運(yùn)算平臺(tái)。

而且，TPM包括兩種形態(tài)的存在，第一種是dTPM，另一種是PTT/fTPM（分別由Intel和AMD提出）。前者是單純的硬件設(shè)備，可以存在于電腦主板上，也可以通過插針擴(kuò)展設(shè)備的形式存在，但終歸是硬件產(chǎn)品;后者，則可以通過CPU模擬的方式實(shí)現(xiàn)，存在于電腦的UEFI中。

TPM的主要作用是利用安全的經(jīng)過驗(yàn)證的加密密鑰帶來強(qiáng)大的設(shè)備安全性。TPM功能的核心是簽注密鑰，這是在生產(chǎn)過程中內(nèi)置到TPM硬件的加密密鑰。這個(gè)簽注密鑰的私鑰部分絕不會(huì)出現(xiàn)在TPM外部或暴露給其他組件、軟件、程序或個(gè)人。另一個(gè)關(guān)鍵密鑰是存儲(chǔ)根密鑰，該密鑰也存儲(chǔ)在TPM內(nèi);它被用來保護(hù)其他應(yīng)用程序創(chuàng)建的TPM密鑰，使這些密鑰只能由TPM通過被稱為綁定的過程來解密，TPM也是通過該過程鎖定數(shù)據(jù)到設(shè)備。與簽注密鑰不同，只有當(dāng)TPM設(shè)備第一次被初始化或新用戶獲得所有權(quán)時(shí)，存儲(chǔ)根密鑰才會(huì)被創(chuàng)建。

TPM還可以通過平臺(tái)配置寄存器（PCR）機(jī)制來記錄系統(tǒng)的狀態(tài)。這允許TPM進(jìn)行預(yù)啟動(dòng)系統(tǒng)完整性檢查，也被稱為遠(yuǎn)程證明，這是一個(gè)功能強(qiáng)大的數(shù)據(jù)保護(hù)功能。通過將數(shù)據(jù)加密密鑰存儲(chǔ)在TPM中，數(shù)據(jù)可以有效地受到保護(hù)，其中TPM有一系列參考值來檢查PCR們的狀態(tài)。只有系統(tǒng)狀態(tài)與存儲(chǔ)的PCR值匹配，這些密鑰才會(huì)啟封和使用，并且，只有在滿足特定硬件和軟件條件時(shí)，才能夠訪問系統(tǒng)。

TPM怎么用？

在Windows平臺(tái)，能夠和TPM搭配工作的就是BitLocker了，那么，這個(gè)BitLocker又是如何工作的呢？在一臺(tái)使用了BitLocker加密的電腦上，它的工作流程是這樣的：

1. 首先UEFI啟動(dòng)并初始化TPM，將并固件部分敏感內(nèi)容和啟動(dòng)分區(qū)還有bootloader放入PCR組;

2. 如果此時(shí)PCR的值與預(yù)存儲(chǔ)值相匹配無(wú)誤，TPM將使用存儲(chǔ)根密鑰 （SRK） 對(duì)卷主密鑰 （VMK） 進(jìn)行解密;

3. 此時(shí)，從卷中讀取加密的FVEK，并使用解密VMK對(duì)其進(jìn)行解密;

4. 當(dāng)訪問（開啟了BitLocker的）硬盤扇區(qū)時(shí)，使用FVEK進(jìn)行解密;

其中S R K存儲(chǔ)在T PM芯片中，它是整個(gè)過程的信任基礎(chǔ)。Bit Locker則通過檢測(cè)PCR組，對(duì)主啟動(dòng)記錄 （GPT） 代碼、NTFS啟動(dòng)扇區(qū)、NTFS啟動(dòng)塊、啟動(dòng)管理器和其他重要組件進(jìn)行檢查，如果被更改，第二步就會(huì)出錯(cuò)，并提示輸入Re c ove r yPIN值來校驗(yàn)。

最厲害的是，開啟了Bi t Lo c ke r的磁盤內(nèi)容，即便把硬盤摘下放入其他電腦，數(shù)據(jù)也不可以被讀取，因?yàn)槟銢]有對(duì)應(yīng)的解密手段，因?yàn)檫@把解密的“鑰匙”掌握在自己電腦的TPM中。當(dāng)然了， Bitlocker和TPM這種組合方式使用之后，一旦密鑰丟失或者T PM損壞（可能性極低），則需要Recovery PIN;再進(jìn)一步如果RecoveryPIN丟失，個(gè)人用戶數(shù)據(jù)將會(huì)丟失（就算把TPM拆下來也沒有用，一如把硬盤安裝到別的電腦一樣）。

另外要明確一點(diǎn)，TPM可以讓BitLocker的加密措施安全性最大化（AES 256位加密），但是它們可不是劃等號(hào)的。因?yàn)锽itlocker不一定需要TPM，UEFI的安全啟動(dòng)也不一定需要TPM。

具體從操作環(huán)節(jié)上，我們以Windows 10為例來說明。首先我們需要進(jìn)入電腦的UEFI，開機(jī)時(shí)按下Del鍵（或F1、F2，具體查閱自己主板說明書），然后找到安全項(xiàng)，這時(shí)需要注意，如果是dTPM，UEFI的設(shè)置信息應(yīng)該是“TPM”，或者是中文“可信平臺(tái)模塊”;如果主板提供的是PT T/f TPM，則顯示為Intel Plat form TrustTechnology/AMD Firmware TPM。無(wú)論是哪一種，我們要將其設(shè)置為“啟用”，英文設(shè)置為“Enable”。設(shè)置完畢，我們按下F10按鍵根據(jù)提示保存推出，并重啟電腦進(jìn)入操作系統(tǒng)。

特別注意，無(wú)論是使用dTPM還是PTT/fTPM的主板電腦，前置條件分別為系統(tǒng)啟動(dòng)要使用UEFI模式、硬盤為GPT而非MBR兩個(gè)條件。此外，使用PTT的主板務(wù)必開啟英特爾管理引擎，即IntelManagement Engine，否則將無(wú)法開啟Intel Platform Trust Technology（尤其是魔改主板默認(rèn)關(guān)閉就無(wú)法使用了）。

進(jìn)入Windows 10后點(diǎn)擊開始菜單，然后輸入BitLocker并雙擊打開。

接著點(diǎn)擊對(duì)應(yīng)的硬盤啟用BitLocker，選擇保存恢復(fù)密鑰，這個(gè)是用來恢復(fù)解除加密的，分為三個(gè)存儲(chǔ)方式，第一種為云端收錄到自己的微軟賬號(hào);第二種為保存到數(shù)據(jù)文件;第三種則是打印成物理紙張，根據(jù)自己使用習(xí)慣選擇，但是務(wù)必要保存好密鑰。

選擇要加密的模式，這里分為兩種，第一種是部分加密，第二種是整盤加密，筆者推薦選擇后者，這樣安全性有充分保障。

繼續(xù)設(shè)置，加密模式中本地硬盤推薦選擇“新加密模式”，移動(dòng)硬盤或者閃存盤，則選擇“兼容模式”。

下一步，勾選“運(yùn)行BitLocker系統(tǒng)檢查”繼續(xù)，系統(tǒng)會(huì)重啟，重啟電腦之后BitLocker就已經(jīng)開始為你的硬盤加密了。

加密成功的硬盤驅(qū)動(dòng)器會(huì)在BitLocker頁(yè)面顯示，如果訪問這些驅(qū)動(dòng)器，系統(tǒng)將提示需要驗(yàn)證，根據(jù)提示操作即可。

沒有TPM芯片怎么辦？

回到本文開端，升級(jí)到Windows 11的這個(gè)“必需品”TPM，如果沒有我們又將如何呢？首先，世事無(wú)絕對(duì)，微軟在其官方PDF第16頁(yè)的“Windows 11最低硬件要求”中寫道：經(jīng)過微軟批準(zhǔn)、用于特殊領(lǐng)域的OEM系統(tǒng)不需要在出貨時(shí)啟用TPM支持。也就是說，微軟將允許那些“特殊用途的商業(yè)系統(tǒng)、自定義訂單和具有自定義系統(tǒng)的OEM客戶系統(tǒng)”設(shè)備可以不支持TPM模塊，但僅限于經(jīng)過官方認(rèn)證的機(jī)型（或者主板）。也就是說，我們有可能使用到無(wú)需強(qiáng)制要求使用TPM支持的Windows 11系統(tǒng)。

另外，TPM終歸是個(gè)“外來的和尚”，我國(guó)1999年發(fā)布的《商用密碼管理?xiàng)l例》明確規(guī)定“商用密碼技術(shù)屬于國(guó)家秘密。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾??！辈⑶以?005年推出了TCM，即Trusted cryptography module可信密碼模塊，用以應(yīng)對(duì)安全的需求。所以，正規(guī)渠道購(gòu)買的帶有“受信任的平臺(tái)模塊 2.0”的電腦產(chǎn)品，必須符合國(guó)家相關(guān)條例要求方可，而不是單純的技術(shù)為先導(dǎo)，畢竟數(shù)據(jù)信息安全已經(jīng)成為非常重要的一件事了。