(资料来源:约翰·布伦克)
微软的Windows 11操作系统需要一个迄今鲜为人知的PC安全功能,可信平台模块(TPM)。如果你想自己组装一台Windows 11电脑,或者升级一台运行较早版本Windows的电脑,这可能会引起你的担忧。
“我的TPM可以与Windows 11兼容吗?”这是一个你可能从未想过自己会问的问题。但对于那些在过去几年里买了个人电脑的人来说,好消息是答案几乎肯定是“是的”。对于那些想要升级到Windows 11的人,尤其是那些自己安装或升级了Windows桌面的人来说,答案可能会更加复杂。
让我们来看看tpm做什么,以及它们在最新版本的Windows中是如何工作的。
TPM是什么?
最基本的,TPM是计算机主板上的一个小芯片,有时与主CPU和内存分开。这个芯片类似于你用来关闭你的家庭安防报警器每次你一进门,或者身份验证应用程序你用手机登录你的银行账户。在这种情况下,打开计算机就类似于打开你家的前门或在登录页面中输入用户名和密码。如果你不在短时间内输入密码,警报就会响起,或者你将无法提取你的钱。
同样,在使用全磁盘加密和TPM的新电脑上按下电源按钮后,微型芯片将提供一个称为加密密钥的唯一代码。如果一切正常,驱动器加密被解锁,计算机启动。如果密钥有问题——可能是黑客偷了你的笔记本电脑,并试图篡改里面的加密驱动器——你的电脑就无法启动。
虽然这就是现代TPM实现在最基本层面上的功能,但这远远不是它们所能做的全部。事实上,许多应用程序和其他PC功能在系统已经启动后才使用TPM。Thunderbird和Outlook电子邮件客户端使用TPM来处理加密或密钥签名的邮件。Firefox和Chrome浏览器也使用TPM来实现某些高级功能,例如维护网站的SSL证书。除了个人电脑之外,从打印机到联网家居配件,很多消费科技产品也使用tpm。
tpm除了为pc提供启动保护的基本目的之外,还可以执行许多其他功能,因此除了作为独立芯片之外,tpm还可以采用许多不同的形式。负责维护TPM标准的可信计算组(Trusted Computing Group, TCG)指出,TPM还有另外两种类型。tpm可以集成到主CPU中,可以作为物理附加,也可以作为在专用环境(称为固件)中运行的代码。这种方法几乎和独立的TPM芯片一样安全,因为它使用了一个与使用CPU的其他程序分离的可信环境。
第三种TPM是虚拟TPM。它完全在软件中运行。TCG警告说,不建议实际使用,因为它容易受到篡改和操作系统中可能存在的任何安全漏洞的攻击。
要更深入地(但仍然可以访问)了解tpm是如何工作的,请参阅这本简短的书TPM 2.0的实用指南(在新窗口打开)值得一读。有关tpm在消费pc中使用的所有方式的示例,请参见苹果T2的指南(在新窗口打开)mac电脑的安全芯片。(虽然苹果没有使用这个术语,但T2本质上是一个TPM。)
Windows和tpm有什么关系?
Windows 7和Windows 10都对tpm提供了广泛支持。笔记本电脑和台式电脑主要用于对IT安全有严格要求的大型组织。在许多情况下,tpm已经取代了IT部门曾经发给员工的笨重智能卡。必须将智能卡插入插槽或在内置无线阅读器上敲击,以验证系统没有受到篡改。
操作系统级别的安全特性也已经利用了tpm。你有没有在新一代笔记本电脑上使用过Windows Hello人脸识别登录功能?这需要TPM。
tpm是保护Windows电脑安全的旧方法的有效替代方案。事实上,从2016年7月开始微软实际上要求(在新窗口打开)TPM 2.0支持所有运行任何版本的Windows 10台式机(家庭、专业、企业或教育)的新pc。同样,Windows 11也只能在具备TPM功能的个人电脑上运行。
我的电脑已经有TPM 2.0了吗?
如果你的电脑满足Windows 11的其他最低系统要求,那么它就有可能支持TPM 2.0。然而,该标准是相对较新的。如果你在2016年之后购买了PC,几乎可以肯定它配备了TPM 2.0。如果你的电脑使用年限超过几年,那么它很可能使用的是较旧的TPM 1.2版本(微软表示Windows 11不推荐使用TPM),或者根本没有TPM。
某些版本的Windows 10在设置应用程序中提供了安全处理器信息页面,可以显示TPM版本和其他信息。
大多数较大的供应商都在其网站上发布了直接的支持文章,解释哪些产品支持TPM 2.0。例如,戴尔出版一个方便的图表(在新窗口打开)表示在哪个系统中安装了哪种类型的TPM。该公司在现代Latitude、Precision、OptiPlex和消费级笔记本电脑和台式机中使用了三种不同类型的TPM 2.0。
如果您有TPM 2.0,但它目前没有启用,微软提供了一个指南(在新窗口打开)如何设置它。
我可以在我的电脑上添加TPM吗?
如果您在过去几年中构建了自己的桌面PC,并且可以在系统BIOS中随意修改硬件和软件安全设置,那么您可能可以在主板上添加一个独立的TPM 2.0芯片。许多主板都带有一组标有“TPM”的头引脚。而且,正如ExtremeTech指出的那样(在新窗口打开)在美国,你可以花不到50美元买到一些主板型号的TPM模块。
但这并不像购买一个TPM 2.0附加模块并将其插入头部那么简单。即使您在家用计算机中安装了硬件TPM,也需要确保在BIOS中正确设置了TPM,以便Windows操作系统能够识别它。这个过程根据你使用的主板和CPU的不同而有很大的不同;请参阅上面提到的指南,以获得更多信息和一些主要PC制造商的说明链接。
如果你是多年前花重金打造顶级游戏PC的人之一,你的主板或CPU可能缺乏TPM功能或无法添加TPM功能,那么你的系统可能还有几年的寿命,但可能无法运行Windows 11。对于一些主板上没有TPM功能的pc来说,基于固件的TPM 2.0解决方案可能是一个选择,尽管自己实现一个几乎肯定需要一些试验和错误。
TPM会阻止我运行Linux吗?
相反,许多PC爱好者的电脑确实支持tpm,但他们出于各种原因选择禁用tpm。如果你是这样的人,Windows 11带来了好消息和坏消息。
好消息是,现在几乎你想用PC做的任何事情都可以在启用tpm的情况下完成。是的,也有例外,但它们只会影响一小部分用户。例如,TCG早就指定了TPM需求(在新窗口打开)这意味着那些想要在Windows 11和各种Linux发行版之间切换电脑的人应该能够做到。支持将根据您使用的Linux发行版以及您如何配置双启动设置而有所不同。
TPM会限制我可以使用的Windows 11功能吗?
Windows 11中TPM 2.0要求的众多棘手部分之一是,微软可能会借鉴苹果的做法,在未来的Windows更新中引入与TPM安全相关的额外限制。例如,安装了T2芯片的mac电脑拥有许多苹果电脑不具备的功能,包括指纹识别和增强的图像信号处理。这种情况在Windows 10世界也存在,前面提到的Windows Hello人脸识别就是一个很好的例子。
随着Windows 11和未来的TPM版本,微软可以进一步细分Windows体验。这可能包括添加需要TPM的新功能,但也可能包括引入类似于当前Windows 10 S模式的额外锁定版本。对于大多数消费者来说,这不是问题,但如果你打算升级到Windows 11,就需要记住这一点。
微软Windows 11预览
