OverLord

不過，它對基礎(chǔ)安裝、使用的要求卻惹來了一些麻煩：Windows 11的最低系統(tǒng)安裝要求時鐘頻率大于 1GHz的雙核心處理器、4GB內(nèi)存和64GB存儲空間，乍一看似乎很低，實際上并非如此。根據(jù)微軟官方人士的說法，實際上CPU需要達(dá)到“英特爾第八代處理器和AMD Zen 2以及高通7和8系列的設(shè)備將滿足其圍繞安全性和可靠性的原則，以及Wi ndows 11的最低系統(tǒng)要求”。注意這句話的后半句——“滿足其圍繞安全性和可靠性的原則”，這就是根本所在了。具體到處理器是否支持Windows 11，可以參考微軟提供的頁面進(jìn)行對照。Intel處理器支持列表地址是：https：//docs.microsoft.com/enus/windows-hardware/design/minimum/supported/windows-11-supported-intelprocessors，AMD處理器的支持列表地址是：https：//docs.microsoft.com/en-us/windows-hardware/design/minimum/supported/windows-11-supported-amd-processors。

所謂的滿足安全性要求，其實是Windows 11對安全性提升的一個重大變化，電腦系統(tǒng)必須具備TPM 2.0的安全加密芯片才可以安裝Windows 11。那么，這個TPM究竟是什么，會讓微軟“下狠心”必須要求軟硬件結(jié)合才可以安裝使用新版操作系統(tǒng)？要知道，以往從來都只是對系統(tǒng)性能有要求的。

如何檢測TPM？

首先先來看看，Windows 11對電腦TPM芯片的支持與否，我們沒有單純的列表可以參考，但是微軟提供了一個檢測工具PCHealth Check，它可以檢測電腦是否可以符合標(biāo)準(zhǔn)，不過它提供的信息相當(dāng)有限，只顯示“能否安裝”，具體信息看不到。

好在，有熱心的網(wǎng)友制作了更為詳盡信息的檢測工具，供大家進(jìn)行檢測。首先，下載檢測工具WhyNotWin11（下載地址：http：//www.xitongzhijia.net/soft/216696.html），下載后直接雙擊運行即可。它的細(xì)項非常完備，包括構(gòu)架、引導(dǎo)方式、CPU兼容性、CPU的核心及頻率、內(nèi)存大小、安全引導(dǎo)、存儲空間以及最重要的TPM版本。如果檢測可以安裝Windows 11，所有項目應(yīng)該是全部為綠色的OK圖示。

其中，最重要的是TPM芯片的支持與否，這分三種情況，第一種是完全符合要求，自然檢測結(jié)果是綠色的OK圖標(biāo);第二種和第三種都是紅色的“×”圖標(biāo)，但是會有不同的可能性，一種是主板帶有TPM模塊但是沒有正確開啟，需要在BIOS中設(shè)置選擇生效;另一種則主板帶有TPM芯片也正確開啟，但是TPM芯片版本比較老，只是1.2版本而非Windows 11要求的TPM 2.0版本;最后一種是根本沒有TPM芯片，這就需要額外的升級安裝，或者是干脆無法符合要求。

如果其他硬件配置完全沒問題，只想了解TMP 2.0是否開啟，其實在Windows10的設(shè)備管理器中尋找是否有“安全設(shè)備-受信任的平臺模塊2.0”即可。

為什么要強(qiáng)制TPM？

很多人可能會好奇，Intel為何要在Windows 11上強(qiáng)制要求TPM芯片。其實，這不是微軟第一次要求使用更嚴(yán)格的安全措施。早在2004年，微軟就推出了一個臨時代號為“基石（Cornerstone）”的安全項目（注：后發(fā)展為“下一代安全計算基礎(chǔ)”，縮寫為NGSCB）。

其中的成果之一BitLocker——這個最早集成于Windows Vista開始的安全加密措施，就是基于TPM的。BitLocker最重要的作用是可以在解密受保護(hù)的卷之前驗證引導(dǎo)和系統(tǒng)文件的完整性，如果驗證失敗，會禁止用戶訪問受保護(hù)的系統(tǒng)。但是，這個功能一直以來都不帶有強(qiáng)制性，只是作為一種可以選擇的方式存在于從Windows Vista、Windows 8、Windows 10系統(tǒng)上。

那么，為什么微軟在這次Windows 11上如此執(zhí)拗的要求TPM芯片的必要性呢？筆者認(rèn)為，一方面信息安全的重要性日益提升，對于微軟來說，如何為用戶提供更為完善的安全加密措施是必須考慮的事情;另一方面，就必須考慮到業(yè)界整體的技術(shù)發(fā)展動態(tài)。這就不得不提微軟的競爭對手、也是世界另一個主要操作系統(tǒng)的擁有者——蘋果公司了。

蘋果在前幾年開始廣泛使用T2芯片作為自己電腦產(chǎn)品的標(biāo)配。它的全稱為T2安全芯片，主要功能就是為Mac系列的數(shù)據(jù)安全保駕護(hù)航。與此同時，他也有著一個充當(dāng)類似于M系列處理器的一個協(xié)處理器作用。它的主要作用就是保護(hù)數(shù)據(jù)安全，簡單來說，就是將電腦上的所有硬件上了一把鎖，所有硬件都是鑰匙的一部分，一旦發(fā)現(xiàn)鑰匙少了一塊，就無法打開。T2芯片可以實現(xiàn)加密功能，用戶可以通過設(shè)置，使用三種安全啟動項和選項，以確保設(shè)備不會被篡改。這樣一來，設(shè)備就能夠更大程度實現(xiàn)安全性，給專業(yè)工作帶來安全保障。

TPM可以做什么？

TPM芯片究竟是如何幫助系統(tǒng)廠商來實現(xiàn)“信息安全”的？這要從它的“身世”說起。TPM，全稱為Trusted PlatformModule，即可信平臺模塊，它是一項安全密碼處理器的國際標(biāo)準(zhǔn)，旨在使用設(shè)備中集成的專用微控制器（安全硬件）處理設(shè)備中的加密密鑰。早在1999年10月，多家企業(yè)聯(lián)合發(fā)起成立可信賴運算平臺聯(lián)盟（TrustedComputing Platform Alliance，TCPA），初期加入者有康柏、HP、IBM、英特爾、微軟等，該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運算平臺。

而且，TPM包括兩種形態(tài)的存在，第一種是dTPM，另一種是PTT/fTPM（分別由Intel和AMD提出）。前者是單純的硬件設(shè)備，可以存在于電腦主板上，也可以通過插針擴(kuò)展設(shè)備的形式存在，但終歸是硬件產(chǎn)品;后者，則可以通過CPU模擬的方式實現(xiàn)，存在于電腦的UEFI中。

TPM的主要作用是利用安全的經(jīng)過驗證的加密密鑰帶來強(qiáng)大的設(shè)備安全性。TPM功能的核心是簽注密鑰，這是在生產(chǎn)過程中內(nèi)置到TPM硬件的加密密鑰。這個簽注密鑰的私鑰部分絕不會出現(xiàn)在TPM外部或暴露給其他組件、軟件、程序或個人。另一個關(guān)鍵密鑰是存儲根密鑰，該密鑰也存儲在TPM內(nèi);它被用來保護(hù)其他應(yīng)用程序創(chuàng)建的TPM密鑰，使這些密鑰只能由TPM通過被稱為綁定的過程來解密，TPM也是通過該過程鎖定數(shù)據(jù)到設(shè)備。與簽注密鑰不同，只有當(dāng)TPM設(shè)備第一次被初始化或新用戶獲得所有權(quán)時，存儲根密鑰才會被創(chuàng)建。

TPM還可以通過平臺配置寄存器（PCR）機(jī)制來記錄系統(tǒng)的狀態(tài)。這允許TPM進(jìn)行預(yù)啟動系統(tǒng)完整性檢查，也被稱為遠(yuǎn)程證明，這是一個功能強(qiáng)大的數(shù)據(jù)保護(hù)功能。通過將數(shù)據(jù)加密密鑰存儲在TPM中，數(shù)據(jù)可以有效地受到保護(hù)，其中TPM有一系列參考值來檢查PCR們的狀態(tài)。只有系統(tǒng)狀態(tài)與存儲的PCR值匹配，這些密鑰才會啟封和使用，并且，只有在滿足特定硬件和軟件條件時，才能夠訪問系統(tǒng)。

TPM怎么用？

在Windows平臺，能夠和TPM搭配工作的就是BitLocker了，那么，這個BitLocker又是如何工作的呢？在一臺使用了BitLocker加密的電腦上，它的工作流程是這樣的：

1. 首先UEFI啟動并初始化TPM，將并固件部分敏感內(nèi)容和啟動分區(qū)還有bootloader放入PCR組;

2. 如果此時PCR的值與預(yù)存儲值相匹配無誤，TPM將使用存儲根密鑰 （SRK） 對卷主密鑰 （VMK） 進(jìn)行解密;

3. 此時，從卷中讀取加密的FVEK，并使用解密VMK對其進(jìn)行解密;

4. 當(dāng)訪問（開啟了BitLocker的）硬盤扇區(qū)時，使用FVEK進(jìn)行解密;

其中S R K存儲在T PM芯片中，它是整個過程的信任基礎(chǔ)。Bit Locker則通過檢測PCR組，對主啟動記錄 （GPT） 代碼、NTFS啟動扇區(qū)、NTFS啟動塊、啟動管理器和其他重要組件進(jìn)行檢查，如果被更改，第二步就會出錯，并提示輸入Re c ove r yPIN值來校驗。

最厲害的是，開啟了Bi t Lo c ke r的磁盤內(nèi)容，即便把硬盤摘下放入其他電腦，數(shù)據(jù)也不可以被讀取，因為你沒有對應(yīng)的解密手段，因為這把解密的“鑰匙”掌握在自己電腦的TPM中。當(dāng)然了， Bitlocker和TPM這種組合方式使用之后，一旦密鑰丟失或者T PM損壞（可能性極低），則需要Recovery PIN;再進(jìn)一步如果RecoveryPIN丟失，個人用戶數(shù)據(jù)將會丟失（就算把TPM拆下來也沒有用，一如把硬盤安裝到別的電腦一樣）。

另外要明確一點，TPM可以讓BitLocker的加密措施安全性最大化（AES 256位加密），但是它們可不是劃等號的。因為Bitlocker不一定需要TPM，UEFI的安全啟動也不一定需要TPM。

具體從操作環(huán)節(jié)上，我們以Windows 10為例來說明。首先我們需要進(jìn)入電腦的UEFI，開機(jī)時按下Del鍵（或F1、F2，具體查閱自己主板說明書），然后找到安全項，這時需要注意，如果是dTPM，UEFI的設(shè)置信息應(yīng)該是“TPM”，或者是中文“可信平臺模塊”;如果主板提供的是PT T/f TPM，則顯示為Intel Plat form TrustTechnology/AMD Firmware TPM。無論是哪一種，我們要將其設(shè)置為“啟用”，英文設(shè)置為“Enable”。設(shè)置完畢，我們按下F10按鍵根據(jù)提示保存推出，并重啟電腦進(jìn)入操作系統(tǒng)。

特別注意，無論是使用dTPM還是PTT/fTPM的主板電腦，前置條件分別為系統(tǒng)啟動要使用UEFI模式、硬盤為GPT而非MBR兩個條件。此外，使用PTT的主板務(wù)必開啟英特爾管理引擎，即IntelManagement Engine，否則將無法開啟Intel Platform Trust Technology（尤其是魔改主板默認(rèn)關(guān)閉就無法使用了）。

進(jìn)入Windows 10后點擊開始菜單，然后輸入BitLocker并雙擊打開。

接著點擊對應(yīng)的硬盤啟用BitLocker，選擇保存恢復(fù)密鑰，這個是用來恢復(fù)解除加密的，分為三個存儲方式，第一種為云端收錄到自己的微軟賬號;第二種為保存到數(shù)據(jù)文件;第三種則是打印成物理紙張，根據(jù)自己使用習(xí)慣選擇，但是務(wù)必要保存好密鑰。

選擇要加密的模式，這里分為兩種，第一種是部分加密，第二種是整盤加密，筆者推薦選擇后者，這樣安全性有充分保障。

繼續(xù)設(shè)置，加密模式中本地硬盤推薦選擇“新加密模式”，移動硬盤或者閃存盤，則選擇“兼容模式”。

下一步，勾選“運行BitLocker系統(tǒng)檢查”繼續(xù)，系統(tǒng)會重啟，重啟電腦之后BitLocker就已經(jīng)開始為你的硬盤加密了。

加密成功的硬盤驅(qū)動器會在BitLocker頁面顯示，如果訪問這些驅(qū)動器，系統(tǒng)將提示需要驗證，根據(jù)提示操作即可。

沒有TPM芯片怎么辦？

回到本文開端，升級到Windows 11的這個“必需品”TPM，如果沒有我們又將如何呢？首先，世事無絕對，微軟在其官方PDF第16頁的“Windows 11最低硬件要求”中寫道：經(jīng)過微軟批準(zhǔn)、用于特殊領(lǐng)域的OEM系統(tǒng)不需要在出貨時啟用TPM支持。也就是說，微軟將允許那些“特殊用途的商業(yè)系統(tǒng)、自定義訂單和具有自定義系統(tǒng)的OEM客戶系統(tǒng)”設(shè)備可以不支持TPM模塊，但僅限于經(jīng)過官方認(rèn)證的機(jī)型（或者主板）。也就是說，我們有可能使用到無需強(qiáng)制要求使用TPM支持的Windows 11系統(tǒng)。

另外，TPM終歸是個“外來的和尚”，我國1999年發(fā)布的《商用密碼管理條例》明確規(guī)定“商用密碼技術(shù)屬于國家秘密。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行專控管理。”并且在2005年推出了TCM，即Trusted cryptography module可信密碼模塊，用以應(yīng)對安全的需求。所以，正規(guī)渠道購買的帶有“受信任的平臺模塊 2.0”的電腦產(chǎn)品，必須符合國家相關(guān)條例要求方可，而不是單純的技術(shù)為先導(dǎo)，畢竟數(shù)據(jù)信息安全已經(jīng)成為非常重要的一件事了。