在微软发布了Windows 11系统之后,很多喜欢尝鲜的用户在执行“健康检查工具”后,都发现自己无法升级Windows 11,其中很多可能都是在TPM 2.0这里卡关。为什么微软一定要计算机硬件能够支持TPM 2.0?
信赖平台模块或是称为可信平台模块(Trusted Platform Module,缩写:TPM)是一项安全密码处理器的国际标准,旨在使用设备中集成的专用单片机(安全硬件),可以处理设备中的加密密钥。TPM的技术规范由称为可信计算组织(TCG)的信息业联合体编写。国际标准化组织(ISO)和国际电工委员会(IEC)已于2009年将规范标准化为ISO/IEC 11889。
而TPM也有版本的升级,目前最新为TPM 2.0,可以处理包括加密、解密、密钥创建,以及取得拥有权。而计算机要实现TPM 2.0,主要就是主板要有能够支持TPM 2.0的芯片。因此,如果你的计算机不支持,关键主要还是在主板。
旧的主板多半都没有该芯片。另外,有些较新的主板虽然有TPM 2.0,但它在默认的时候是关闭的,所以用户必须经过BIOS设置才能使用。默认情况下,TPM 2.0没有被启动,将无法进行安装Windows 11。
先前微软在对“Windows 11兼容性”描述中有些含糊其辞。因此,也有媒体推测,TPM 2.0只是一个“建议值”,不代表你的硬件一定要有。
不过,微软的企业与系统安全总监David Weston在Windows官方博客上发布了一篇新文章。文中表示“未来PC需要借助这种现代硬件从基础上的信任(root-of-trust)来帮助抵御常见和复杂的攻击,比如勒索软件和重量级黑客组织的复杂攻击。通过强制内置Windows 11对TPM 2.0的要求,也将有助于提升硬件的安全标准。”
因此,看来是证实了Windows 11一定需要TPM 2.0的支持。基于此,任何想要通过Windows 11认证的系统,都必须包含TPM 2.0芯片。
TPM对于微软的加密功能是全面性的影响,包括使用Windows Hello的能力。
另外,微软在去年与英特尔合作,推动了硬件级的强制堆栈保护技术,称为Hardware-enforced Stack Protection,用户可通过opt-in功能加入相关的保护,让计算功能够开箱即用。而这也要靠TPM进行相关的安全上的支持。
David Weston也在文中表示,新版Windows系统附带的对新硬件的安全要求,旨在构建一个更强大、更能抵御针对认证设备攻击的基础。通过拥有安全核心的PC产品,对恶意软件感染的抵抗力,将是以往的两倍。
而这当然也将带给未来“Windows 11 Ready”的计算机产品一个更新的标准,目前已知包括宏碁、华硕、戴尔、惠普、联想、松下等在内的OEM厂商,都将为新系统提供对TPM 2.0的支持。