微软一再解释为什么 TPM(可信平台模块)2.0、VBS(基于虚拟化的安全)和安全启动等功能对 Windows 11 PC 十分重要。虽然这些功能以前就有,但微软在 Windows 11 中强制要求使用这些功能,理由是它们能带来更强的安全优势,微软还发布了可视化演示,以更好地解释如何使用这些功能。
这要追溯到 2021 年。时至今日,随着 Windows 11 24H2 功能更新的发布(刚刚可供更多用户下载),微软最近更新了其官方网站上的一篇支持文章。Neowin 在浏览互联网时发现了这一变化。
这篇文章是关于通过 BitLocker 进行自动设备加密的,微软将其称为 “Auto-DE”,该文档的一个特定部分进行了更新,以反映为什么设备加密需要 TPM 和安全启动。
以前的内容是:
为什么设备加密不可用?
以下是确定 “设备加密” 不可用原因的步骤:
- 从 “开始” 键入 “系统信息”,右键单击结果列表中的 “系统信息”,然后选择 “以管理员身份运行”。
- 在 “系统摘要 - 项目” 列表中,查找 “自动设备加密支持” 或 “设备加密支持” 的值
- 该值提供了无法启用 “设备加密” 的原因
- 如果该值显示 “满足先决条件”,则说明设备加密在您的设备上可用。
以下是更新后的页面内容:
为什么设备加密不可用?
下面是确定设备加密可能不可用的原因的步骤:
- 在“开始”键入“系统信息”中,右键单击结果列表中的“系统信息”,然后选择“以管理员身份运行”
- 在“系统摘要 - 项”列表中,查找“自动设备加密支持”或“设备加密支持”的值值描述设备加密的支持状态:
- 满足先决条件:设备加密在设备上可用
- TPM 不可用:设备没有受信任的平台模块 (TPM) ,或者未在 BIOS 或 UEFI 中启用 TPM
- 未配置 WinRE:设备未配置 Windows 恢复环境
- 不支持 PCR7 绑定:在 BIOS/UEFI 中禁用安全启动,或者在启动期间将外围设备连接到设备 (,例如专用网络接口、扩展坞或外部图形卡)
从本质上讲,这篇文章详细介绍了这些未满足的 “先决条件”。它们包括 TPM、WinRE(Windows 恢复环境)和安全启动。除此之外,微软还提到了 PCR7。
PCR 即平台配置寄存器,是 TPM 上的一个内存位置,用于存储哈希算法。BitLocker 与 PCR 配置文件 7(或 PCR7)绑定。这种绑定可确保加密密钥(本例中为 BitLocker 密钥)仅在启动过程中的特定时间加载,而不会在启动前或启动后加载。
这就是安全启动的作用所在,因为它会在启动过程中验证必要的 Microsoft Windows PCA 2011 证书,因为无效签名会导致 BitLocker 使用 7 以外的配置文件。
对于那些想知道 Windows 11 24H2 上的 BitLocker 和加密是怎么回事的人来说,雷德蒙德巨头降低了最新 Windows 版本对自动-DE 的 OEM 要求,因此即使是家用电脑也可以自动加密。不久之后,该公司还发布了一份方便的 BitLocker 密钥恢复和备份指南,将其加入书签应该是件明智的事。
第三方备份和克隆应用程序(如 Acronis)也为此进行了相关修改。
这是微软让你知道为什么你应该坚持使用官方合格的 PC 来运行其最新版本的 Windows,而该公司的官方立场是,如果你的 PC 太旧,你应该换一台新的。
最近,该公司在解释了 TPM 2.0 是其操作系统的一个不可商榷的标准之后,还澄清了其目前关于 Windows 11 在不支持的硬件上的系统要求的立场。
![[WIN] Notepad++ v8.7.5 便携版](https://www.pcsofter.com/wp-content/uploads/2022/11/202212261036422.jpg)
![[WIN] AIMP 5.40 Build 2651](https://www.pcsofter.com/wp-content/uploads/2024/09/2024091211424647.webp)
