文章目录[隐藏]
微软表示,其即将推出的Windows 11操作系统将需要一个可信平台模块(TPM)的存在,这引发了一场怀疑和不确定性的风暴。究竟什么是TPM,你的电脑是否已经有了它?以下是你需要了解的情况。
微软即将推出的Windows 11操作系统将需要一个迄今鲜为人知的个人电脑安全功能,即可信平台模块(TPM),这引起了那些迫不及待地想得到新操作系统的早期采用者的担忧。
"我有一个能与Windows一起使用的TPM吗?"你可能从未想过你会需要问这个问题。但对于拥有过去几年购买的PC的人来说,好消息是,答案几乎肯定是 "是"。对于其他想要升级到Windows 11的人来说,特别是那些建立或升级了自己的Windows桌面的人,答案可能更复杂。
让我们看看TPM的作用,以及根据我们目前所知,微软是如何将它们纳入下一版本的Windows的。
什么是TPM?
最基本的是,TPM是电脑主板上的一个小芯片,有时与主CPU和内存分开。该芯片类似于你每次进门时用来关闭家庭安全警报的键盘,或者你在手机上用来登录银行账户的认证器应用程序。在这种情况下,打开你的电脑就类似于打开你家的前门或在登录页面输入你的用户名和密码。如果你没有在短时间内键入密码,警报就会响起,或者你将无法访问你的钱。
华硕可信平台模块(TPM)
华硕主板的可信任平台模块(TPM)插件。(图片: 华硕)
同样,在你按下使用全盘加密和TPM的较新PC的电源按钮后,这个微小的芯片将提供一个称为加密密钥的独特代码。如果一切正常,驱动器加密被解锁,你的电脑就会启动。如果密钥有问题–也许黑客偷了你的笔记本电脑并试图篡改里面的加密驱动器–你的电脑就无法启动。
虽然这就是现代TPM实现的最基本的功能,但这远不是它们能做的全部。事实上,许多应用程序和其他PC功能都是在系统启动后使用TPM的。Thunderbird和Outlook电子邮件客户端使用TPM来处理加密或密钥签名的信息。火狐和Chrome网络浏览器也采用TPM来实现某些高级功能,如维护网站的SSL证书。除了PC之外,还有很多消费技术也使用TPM,从打印机到联网的家庭配件。
正如TPM除了为个人电脑提供启动保护这一基本目的外,还可以执行许多其他功能一样,除了独立的芯片外,它们也可以采取许多不同的形式。负责维护TPM标准的可信计算小组(TCG)指出,还有两种类型的TPM。TPM可以集成到主CPU中,既可以作为物理附加物,也可以作为在专用环境中运行的代码,即所谓的固件。这种方法几乎与独立的TPM芯片一样安全,因为它使用一个与使用CPU的其他程序分立的可信环境。
第三种类型的TPM是虚拟的。它完全在软件中运行。TCG警告说,这不建议在现实世界中使用,因为它很容易受到篡改和操作系统中可能存在的任何安全漏洞的影响。
如果想更深入地了解TPM的工作原理,《TPM 2.0实用指南》这本短书值得一读。要想了解TPM在消费者个人电脑中的所有使用方式,还可以看看苹果公司的Macs T2安全芯片指南。虽然苹果没有使用这个术语,但T2本质上是一个TPM。
Windows和TPM有什么关系?
Windows 7和Windows 10都有对TPM的广泛支持。用于具有严格IT安全要求的大型组织的笔记本电脑和台式机一直是主要采用者。在许多情况下,TPM已经取代了IT部门曾经发给员工的繁琐的智能卡。智能卡必须被插入一个插槽或对着一个内置的无线读卡器轻敲,以验证系统没有被篡改。
操作系统层面的安全功能也已经使用了TPM。有没有使用过较新的笔记本电脑上的Windows Hello面部识别登录功能?这需要一个TPM。
Windows兼容性检查器屏幕截图
TPM是保护Windows PC安全的旧方法的有效替代物。事实上,自2016年7月以来,微软实际上要求所有运行任何版本的Windows 10台式机(家庭版、专业版、企业版或教育版)的新PC支持TPM 2.0。同样,Windows 11将只在具有TPM功能的PC上运行。
TPM是保护Windows PC安全的旧方法的有效替代品。事实上,自2016年7月以来,微软实际上要求所有运行任何版本的Windows 10台式机(家庭版、专业版、企业版或教育版)的新PC支持TPM 2.0。同样,Windows 11将只在具有TPM功能的PC上运行。微软在Windows 11全面上市前一直严格执行这一要求,该系统计划在今年假期作为Windows 10电脑的免费升级版到来。如果你现在下载Windows 11兼容性工具,它只会显示你的系统在TPM 2.0启动和运行时已经准备好了。微软指出,它将在未来几天和几周内对该工具进行调整,以更有助于解释兼容性的具体细节)。
然而,微软已经悄悄地指出,在某些情况下,Windows 11可以在TPM比2.0版本更早的PC上运行。该公司的支持文件表明,TPM 2.0更多的是一种 "软底 "要求,具有TPM 1.2的PC也将能够运行Windows 11。但 "符合软底要求的设备将收到不建议升级的通知",微软警告说。
我的电脑已经有TPM 2.0了吗?
如果你有一台符合其他Windows 11最低系统要求的电脑,它有可能支持TPM 2.0。然而,该标准是相对较新的。如果你的电脑是在2016年之后购买的,那么它几乎可以肯定带有TPM 2.0。如果你的电脑是几年前买的,它很可能要么有旧的TPM 1.2版本(微软说不建议在Windows 11中使用),要么根本就没有TPM。
微软试图通过提及其2016年实施TPM 2.0的最后期限来简化这种情况。该公司在其Windows 11常见问题中指出,"许多使用不到四年的PC将能够升级到Windows 11"。
由于TPM的形式非常多,如前所述,没有办法一目了然地验证你的PC是否有一个启用的TPM 2.0兼容芯片或固件。Windows提供了一个通用的 "安全处理器 "状态指示器,但为了确定,你必须向制造你的台式机或笔记本电脑的公司查询。
Windows安全处理器状态截图
大多数较大的供应商都在其网站上发表了直接的支持文章,解释哪些产品支持TPM 2.0。例如,戴尔发布了一个方便的图表,指出哪个系统中安装了哪种类型的TPM。该公司在现代Latitude、Precision、OptiPlex以及消费者笔记本电脑和台式机中使用三种不同类型的TPM 2.0。
我可以在我的电脑上添加一个TPM吗?
如果你在过去几年中建立了自己的台式电脑,并且你可以在系统的BIOS中对硬件和软件的安全设置进行修补,你可能会在你的主板上添加一个独立的TPM 2.0芯片。许多主板上都有一簇明确标有 "TPM "的针脚。而且,正如ExtremeTech指出的那样,你可以为一些主板型号购买TPM模块,价格不到50美元。
但是,这并不像买一个TPM 2.0附加模块并将其插入接头那么简单。即使你在自制的电脑中安装了硬件TPM,你也需要确保它在BIOS中正确设置,以便Windows操作系统能够识别它。这个过程根据你使用的主板和CPU而有很大不同。甚至微软也承认,开启TPM不一定是一个简单的过程。微软产品管理副总裁Steve Dispense建议,可能需要在基于英特尔的计算机的BIOS中启用平台信任技术(PTT)这样的设置,或者在基于AMD的计算机中启用fTPM。
显示TPM插槽的主板
这块Aorus Z490主板的边缘有一个TPM接头。(Photo: John Burek)
如果你是多年前花重金打造顶级游戏电脑的人之一,使用的主板或CPU可能缺乏TPM功能或添加TPM的能力,那么你的系统可能还有多年的寿命,但可能无法运行Windows 11。对于一些主板上没有TPM功能的PC来说,基于固件的TPM 2.0解决方案可能是一个选择,尽管自己实施一个解决方案几乎肯定需要一些试验和错误。
TPM会阻止我运行Linux吗?
相反,很多PC爱好者的电脑确实支持TPM,但由于各种原因,他们选择禁用TPM。如果你是这样的人,Windows 11带来了好消息和坏消息。
好消息是,现在你想用电脑做的任何事情,几乎都可以在启用TPM的情况下完成。是的,有一些例外情况,但它们只会影响极少数的用户。例如,TCG早就规定了开源Linux操作系统的TPM要求,这意味着想在运行Windows 11和各种Linux发行版之间切换电脑的人应该能够做到。支持将取决于你所使用的Linux发行版,TPM要求如何与双启动环境互动还不是100%清楚。
Windows 11的标志
TPM会限制我使用哪些Windows 11功能吗?
Windows 11中TPM 2.0要求的许多棘手部分之一是,微软可能会借鉴苹果的玩法,在未来的Windows更新中引入与TPM安全有关的额外限制。例如,装有T2芯片的Mac电脑有许多功能是没有该芯片的苹果电脑所不具备的,包括指纹识别和增强的图像信号处理。这种情况在Windows 10世界中也存在,前面提到的Windows Hello面部识别就是一个最好的例子。
通过Windows 11和未来的TPM版本,微软可以进一步细分Windows体验。这可能包括增加需要TPM的新功能,但也可能包括带来更多锁定的Windows版本,类似于当前的Windows 10 S模式。对于大多数消费者来说,这不会是一个问题,但如果你打算在Windows 11上市后立即升级到它,就应该记住这一点。
来源:pcmag
作者:汤姆-布兰特
