微软一再解释为什么 TPM(可信平台模块)2.0、VBS(基于虚拟化的安全)和安全启动等功能对 Windows 11 PC 十分重要。虽然这些功能以前就有,但微软在 Windows 11 中强制要求使用这些功能,理由是它们能带来更强的安全优势,微软还发布了可视化演示,以更好地解释如何使用这些功能。

这要追溯到 2021 年。时至今日,随着 Windows 11 24H2 功能更新的发布(刚刚可供更多用户下载),微软最近更新了其官方网站上的一篇支持文章。Neowin 在浏览互联网时发现了这一变化。

这篇文章是关于通过 BitLocker 进行自动设备加密的,微软将其称为 “Auto-DE”,该文档的一个特定部分进行了更新,以反映为什么设备加密需要 TPM 和安全启动。

Windows 11 需要使用 TPM 和安全启动的原因

以前的内容是:

为什么设备加密不可用?

以下是确定 “设备加密” 不可用原因的步骤:

  1. 从 “开始” 键入 “系统信息”,右键单击结果列表中的 “系统信息”,然后选择 “以管理员身份运行”。
  2. 在 “系统摘要 - 项目” 列表中,查找 “自动设备加密支持” 或 “设备加密支持” 的值
  • 该值提供了无法启用 “设备加密” 的原因
  • 如果该值显示 “满足先决条件”,则说明设备加密在您的设备上可用。

以下是更新后的页面内容:

为什么设备加密不可用?

下面是确定设备加密可能不可用的原因的步骤:

如何使用 Microsoft 安装助手安装 Windows 11 更新教程
  1. “开始”键入“系统信息”中,右键单击结果列表中的“系统信息”,然后选择“以管理员身份运行
  2. “系统摘要 - ”列表中,查找“自动设备加密支持”或“设备加密支持”的值​​​​​​​​​​​​​​描述设备加密的支持状态:
  • 满足先决条件:设备加密在设备上可用
  • TPM 不可用:设备没有受信任的平台模块 (TPM) ,或者未在 BIOS 或 UEFI 中启用 TPM
  • 未配置 WinRE:设备未配置 Windows 恢复环境
  • 不支持 PCR7 绑定:在 BIOS/UEFI 中禁用安全启动,或者在启动期间将外围设备连接到设备 (,例如专用网络接口、扩展坞或外部图形卡)

从本质上讲,这篇文章详细介绍了这些未满足的 “先决条件”。它们包括 TPM、WinRE(Windows 恢复环境)和安全启动。除此之外,微软还提到了 PCR7。

PCR 即平台配置寄存器,是 TPM 上的一个内存位置,用于存储哈希算法。BitLocker 与 PCR 配置文件 7(或 PCR7)绑定。这种绑定可确保加密密钥(本例中为 BitLocker 密钥)仅在启动过程中的特定时间加载,而不会在启动前或启动后加载。

这就是安全启动的作用所在,因为它会在启动过程中验证必要的 Microsoft Windows PCA 2011 证书,因为无效签名会导致 BitLocker 使用 7 以外的配置文件。

对于那些想知道 Windows 11 24H2 上的 BitLocker 和加密是怎么回事的人来说,雷德蒙德巨头降低了最新 Windows 版本对自动-DE 的 OEM 要求,因此即使是家用电脑也可以自动加密。不久之后,该公司还发布了一份方便的 BitLocker 密钥恢复和备份指南,将其加入书签应该是件明智的事。

第三方备份和克隆应用程序(如 Acronis)也为此进行了相关修改。

这是微软让你知道为什么你应该坚持使用官方合格的 PC 来运行其最新版本的 Windows,而该公司的官方立场是,如果你的 PC 太旧,你应该换一台新的。

最近,该公司在解释了 TPM 2.0 是其操作系统的一个不可商榷的标准之后,还澄清了其目前关于 Windows 11 在不支持的硬件上的系统要求的立场。

三星或将迎来2009年以来的最低季度营业利润