据说,当被问及为什么抢劫银行时,臭名昭著的威利·萨顿回答说:“因为那里有钱。”出于同样的原因,大多数恶意软件程序员攻击Windows或Android,因为这是安全漏洞所在。一次Windows 11实现广泛使用,这可能会改变。微软(Microsoft)已经采取了大胆的措施,要求提供必要的安全硬件,尽管这意味着一些个人电脑将无法升级。由于屏蔽了引导过程,并且在受保护的内存中运行加密例程,这个Windows版本似乎对各种攻击完全无懈可击。
这些增加的安全措施是如何工作的呢?微软很乐意提供无尽的详细描述。对于那些喜欢从更广阔的视角看问题的人,下面是我学到的一些东西以及我在安装新操作系统时的发现。TL,博士?新的操作系统可能看起来不像一个重大更新,但在安全方面,它是一个翻天覆地的变化——除非你停用它。
在虚拟机上安装Windows 11
首先,我需要安装Windows 11。我几乎使用虚拟机进行所有安全产品的测试。这样我就能释放真实世界ransomware而不用担心如果反病毒无法完成防御任务会对现实世界造成的伤害。只有在虚拟机上安装Windows 11才有意义——特别是在我开始测试时可用的预发布版本。的基本知识如何创建Windows 11虚拟机但我发现我必须超出我们文章所建议的范围。我必须做的最大调整涉及到安全。
我的第一次尝试以失败告终。我刚进入安装程序,安装程序就宣布:“这台电脑不符合最低要求。”由于没有进一步的细节,这并没有多大帮助。在几次失败的开始后,我有了一个聪明的主意,使用PC健康检查应用程序(在一个新窗口中打开)在现有的虚拟机上。判决清楚而简单。在它们的默认配置中,我的虚拟机不支持安全引导,也没有(虚拟)可信平台模块(TPM).
我再次尝试解决这个问题,选择创建一个具有自定义设置的虚拟机。这让我可以选择UEFI固件Secure Boot是一个好的开始。在最后一步,定制硬件,我尝试添加TPM。VMware界面说明:“虚拟机必须加密并使用UEFI固件。”我尝试了安装,但遇到了关于不满足要求的相同警告。
经过一番折腾之后,我开始检查每一个虚拟机设置,寻找与加密有关的东西。我找到了"访问控制:未加密"我点击加密磁盘,看到我现在可以添加一个虚拟TPM 2.0芯片,我激动得几乎叫了起来。在那之后,安装工作顺利进行。
教训很清楚。Windows 11是关于安全的。它需要一台能够安全引导的电脑,以防止恶意软件攻击引导过程。你不需要启用安全引导,至少目前不需要,但是PC必须支持它。你的电脑必须有一个TPM芯片来管理密码密钥和保护你的电脑的操作系统和固件。没有这个核心的安全感,你就会被困住Windows 10(这是微软一直支持的)。
TPM到底是什么?
增加安全性的可信平台模块(Trusted Platform Module)的概念可以追溯到20年前,而pc从2005年开始就有了这种模块。微软的磁盘加密全驱动加密系统依靠TPM对其加密密钥进行管理和保护。非常方便的Windows Hello人脸识别登录系统也利用了TPM支持。微软的文档建议,任何现代PC都可能有TPM,而使用不到5年的PC最有可能采用最新版本TPM 2.0。
如果你深入研究电脑的安全处理器设置细节,你会看到认证和存储的状态指示器(两者都应该显示为“就绪”)。每个TPM都包括用于加密密钥的高度安全存储。认证指的是TPM可以创建系统硬件和软件配置的快照,并验证(在请求时)是否存在篡改。因为每个TPM都有一个唯一的和不可更改的密钥,它可以用来验证它所在的PC。
基于软件的随机数算法可以被黑客攻击;TPM内部基于硬件的随机生成器并不容易受到攻击。将密码函数存储在TPM中,而不是在软件中实现它们,同样可以保护它们免受黑客攻击。当TPM可用时,Chrome、Firefox和Outlook都会使用它执行某些加密任务。
简而言之,TPM是一个安全强国。它可以验证硬件和软件组件,所以没有人可以篡改你的电脑。它存储重要的加密密钥。它还为Windows和应用程序提供超安全的加密功能。如果你想知道更多,看看这个PCMag的汤姆·布兰特对TPM的深度剖析.
然后微软屈服了
苹果的操作系统从一开始就有安全保障,iOS甚至比macOS更严格。另一方面,Windows仍然处于锁定无数系统漏洞的过程中。通过要求安全引导和tpm2.0芯片,Windows 11完全中和了一整套恶意软件攻击,这些攻击通过破坏Windows引导过程或在启动前进入系统来获得对计算机的完全控制。当然,有些老电脑会被淘汰,但微软会为他们维护Windows 10。这是朝着苹果级安全迈进的一大步。
然后,微软在启动时安全的新墙上戳了一个大洞。就在微软的网站上,现在有一个如何解释绕过Windows 11安装检查TPM 2.0和足够先进的处理器。这是一个简单的注册表调整。一些人对可怕的警告发表评论说,“如果不正确地修改注册表,可能会发生严重的问题。”但微软在任何涉及调整注册表的支持文章中都添加了这一免责声明。
结果是,人们可以在PC上安装Windows 11,而PC上的TPM太旧(仍然需要TPM 1.2)和CPU过时了。这一举动让人想起威利·旺卡(Willy Wonka)微弱的“不……停止……不要……”的建议,说明警告说,微软“建议不要”在不符合最低要求的机器上安装Windows 11。
公平地说,那些深入挖掘的人会发现一些更强烈的警告。如果你在不支持的硬件上安装Windows 11(在一个新窗口中打开),“你的电脑将不再被支持,也无权接收更新。”它澄清了你五月得到更新;你只是不能保证能得到它们。该页面还补充道:“由于缺乏兼容性而对你的电脑造成的损害不在制造商的保修范围内。”
支持Windows安全
熟悉的安全功能包括微软防病毒软件Windows 11似乎没有太大变化。微软正在推广无密码安全系统,它使用了Windows 11所要求的一些高级安全技术,但是Windows 10支持无密码安全.正是安全引导和对tpm2.0的依赖极大地增强了Windows 11的安全性——假设您不禁用它!
如果你的计算机有TPM 2.0芯片,并且支持安全引导,那么就升级到Windows 11。检查是否启用了安全引导(现在Windows只要求启用安全引导可用).根据微软的说法,“安全核电脑的抵抗力是安全核电脑的两倍(在一个新窗口中打开)“所以你只是把恶意软件的攻击面切成了两半。
如果一台电脑不符合Windows 11的要求,请不要使用旁路。坚持使用Windows 10,开始攒钱买一台更安全的新电脑。