微软昨天宣布,Windows 11 将需要在现有和新设备上使用 TPM(可信平台模块)芯片。这是多年来一直在进行的重大硬件更改,但微软混乱的沟通方式让许多人对他们的硬件是否兼容感到困惑。什么是 TPM,为什么 Windows 11 还需要一个?

“可信平台模块 (TPM) 是一种芯片,它可以集成到 PC 的主板中,也可以单独添加到 CPU 中,” Microsoft 企业和操作系统安全总监David Weston 解释说。“其目的是在硬件屏障后面保护加密密钥、用户凭据和其他敏感数据,以便恶意软件和攻击者无法访问或篡改这些数据。”

Windows 11 是免费的,但您的 CPU 可能不受官方支持

所以这一切都与安全有关。TPM 通过提供硬件级保护而不是仅提供软件来工作。它可用于使用 BitLocker 等 Windows 功能加密磁盘,或防止针对密码的字典攻击。TPM 1.2 芯片自 2011 年就已存在,但它们通常只广泛用于 IT 管理的商务笔记本电脑和台式机。Microsoft 希望为使用 Windows 的每个人提供相同级别的保护,即使它并不总是完美的。

什么是 TPM芯片,为什么 Windows 11 要求使用它?

Windows 11 实际上可能不需要专用的 TPM 芯片。

几个月来,微软一直警告固件攻击正在上升。“我们自己的安全信号报告发现,83% 的企业经历了固件攻击,只有 29% 的企业正在分配资源来保护这一关键层,”韦斯顿说。

83% 的数字看起来很大,但是当您考虑到存在的各种网络钓鱼、勒索软件、供应链和物联网漏洞时,广泛的攻击范围就会变得更加清晰。勒索软件攻击每周上头条,勒索软件资助更多勒索软件,因此这是一个难以解决的问题。TPM 肯定会帮助应对某些攻击,但微软依靠现代 CPU、安全启动及其虚拟化保护的组合来真正削弱勒索软件。

微软正在努力发挥自己的作用,尤其是因为 Windows 是受这些攻击影响最大的平台。它被全球企业广泛使用,目前有超过 13 亿台 Windows 10 机器在使用。Microsoft 软件一直是成为全球头条新闻的毁灭性攻击的核心,例如与俄罗斯有关的 SolarWinds 黑客攻击和Microsoft Exchange Server 上的Hafnium 黑客攻击。虽然该公司不负责强迫其客户对其软件进行修补,但它正在努力更积极地进行保护。

什么是 TPM芯片,为什么 Windows 11 要求使用它?

微软正在推动现代 Windows 11 PC

微软习惯于在硬件和软件方面努力将 Windows 推向未来,而这种特殊的变化并没有得到很好的解释。尽管自 Windows 10 以来,微软一直要求 OEM 提供支持 TPM 芯片的设备,但该公司并没有强迫用户或其许多设备合作伙伴为 Windows 运行这些设备。这就是 Windows 11 真正发生的变化,再加上微软的 Windows 11 升级检查器,它导致了很多可以理解的混乱。

微软的Windows 11 网站列出了最低系统要求,带有兼容 CPU的链接,并明确提到至少需要 TPM 2.0。微软要求人们下载并检查 Windows 11 是否运行的 PC 健康检查应用程序将标记未启用安全启动或 TPM 支持的系统或具有不受官方支持的 CPU 的设备(任何早于第 8 代英特尔芯片)。

这让许多人试图弄清楚他们的设备是否支持 TPM,与 BIOS 设置混淆,甚至人们急于购买他们不需要的单独 TPM 模块。有些人甚至在 eBay 上剥头皮 TPM 2.0 模块!

多亏了 Windows 11,人们现在也在剥头皮 TPM2.0 模块。

24.90 美元 ➡ 12 小时内 99.90 美元pic.twitter.com/9TTHC2c47w

— 沉野 (@shen) 2021 年 6 月 25 日

它也没有帮助,微软原本第二的网页有矛盾的信息,一个它改变了几个小时后,我们发表这个故事。根据页面的原始版本,真正的最低要求是 TPM 1.2 和 1GHz 或更高的 64 位双核 CPU,但新页面现在澄清它需要 TPM 2.0 和 Microsoft 明确认证为兼容的处理器—这可能意味着在第 8 代 Intel Core 和 AMD Ryzen 2000 之前的一切都将无法工作。

我们仍在等待微软对 CPU 要求的明确确认,但一位代表确认 TPM 2.0 将是强制性的,并且该页面上的原始信息是错误的。“引用的文档页面是一个错误,此后已更正,”一位 MS 代表告诉The Verge。

什么是 TPM芯片,为什么 Windows 11 要求使用它?

新与旧。  Sean Hollister / The Verge 截图

微软正在推广 TPM 2.0 并对第 8 代或更新的英特尔芯片进行检查,因为这些是获得认证的 OEM 硬件的要求——你会在商店中找到带有不可避免的 Windows 11 贴纸的机器。但是现在还不清楚 Windows 11 更新是否也适用于较旧的机器,微软向我们建议它不会。我们了解到微软目前正在整理一篇博文,将更详细地解释最低要求。

但这并不意味着您现有的 PC 不走运,只是因为您在使用 Microsoft 的兼容性工具时遇到问题。除非您的 CPU很旧,否则它可能已经内置了 TPM 2.0 支持。

这不是很明显,每个 BIOS 都不同。在我这里,它实际上只是“PTT”。pic.twitter.com/CrmSGegARN

— 汤姆·沃伦 (@tomwarren) ,2021 年 6 月 24 日

如果您在使用适用于 Windows 11 的 PC 健康应用检查器时遇到问题,请确保您在 BIOS 中启用了 Intel 系统上的“PTT”,或 AMD 设备上的“PSP fTPM”。该公司的系统检查器现在也应该不那么令人困惑了:在我们发布这个故事后不久,韦斯顿在推特上说,该工具现在将更具体地说明您的 PC 未通过检查的原因。

我们刚刚更新了 Windows 11 PC 健康检查应用程序。它现在提供有关未满足要求的更详细信息。在人们认为 CPU 兼容性问题与 TPM 相关的情况下,这应该会有所帮助 https://t.co/hTWMe16DWO pic.twitter.com/eZLTZMOdjT

- DWIZZZLE (@dwizzzleMSFT) 2021 年 6 月 25 日

微软在此尝试实现的目标将在未来几年使 Windows 生态系统受益,同时也将在 Windows 上为类似 Xbox 的安全性做出新的努力。微软在第一天就完全放弃了向所有人解释这一点。

更新,美国东部时间下午 2:26:补充说,在我们发布此故事后不久,微软更新了其 PC 健康检查应用程序,以更具体地说明为什么您的计算机不满足 Windows 11 系统要求。

更新,东部时间下午 3 点 53 分:补充说 Microsoft 已更改其兼容性页面,将 TPM 2.0 作为要求而不是 TPM 1.2,并且可能要求特定 CPU。我们现在正在深入了解这一点。

更正,美国东部时间晚上 8 点 06 分:这个故事最初指出 Windows 11 可能仍会安装在可以访问 TPM 1.2 和旧 CPU 的 PC 上,因为这是我们在 Microsoft 文档中读到的内容。

icrosoft 现在已更正这些文档以指定 TPM 2.0 是 Windows 11 的最低要求。