如何看待微软 Windows 11硬件要求 TPM 2.0,不符合将无法升级?
TPM 2.0 是什么?为什么微软这么坚持?
简单来说,TPM(Trusted Platform Module)是一个物理芯片,它集成在主板上或者是以固件(fTPM)的形式存在。它的主要作用是为你的电脑提供硬件级别的安全保障。你可以把它想象成一把物理的“锁”和一套“私钥”,用来保护你的敏感数据,比如你的登录凭据、加密密钥等等。
TPM 2.0 是 TPM 的一个更新版本,相比于之前的版本,它提供了更强大的加密能力和更广泛的安全功能。
微软这次之所以如此坚持,主要有以下几个原因:
1. 提升系统整体安全性: 这是最核心的原因。随着网络攻击手段的日益复杂和多样化,传统的软件层面的安全措施已经越来越难以应对。通过强制要求 TPM 2.0,微软希望从硬件层面建立起一道更坚固的防线。
防止恶意软件和固件攻击: 很多高级别的攻击会试图绕过操作系统,直接在系统启动早期或固件层面植入恶意代码。TPM 2.0 可以通过安全启动(Secure Boot)等功能,验证操作系统的完整性,确保在启动过程中加载的都是可信的代码,从而抵御这类攻击。
更好的密钥管理和数据保护: TPM 2.0 可以安全地生成、存储和管理加密密钥。这意味着你的 BitLocker 加密密钥、Windows Hello 的生物识别信息等敏感数据,不会轻易被软件层面的攻击者窃取。即使用户的硬盘被盗,没有 TPM 芯片的授权,也无法访问其中的数据。
支持更先进的安全功能: 例如 Windows Hello 的生物识别认证,更安全地存储和验证指纹或面部识别数据,以及一些虚拟化安全(VirtualizationBased Security, VBS)功能,这些都需要 TPM 硬件的支持才能发挥最佳效果。
2. 应对未来的安全威胁: 网络安全是一个持续演进的领域。微软的考量可能是,为了让 Windows 11 在未来几年内都能保持较高的安全性,就必须建立一个更加健壮的底层安全基础。他们认为 TPM 2.0 是达到这一目标的关键。
3. 标准化和生态系统建设: 随着越来越多的 PC 厂商开始在新出厂的电脑中集成 TPM 2.0,微软也希望通过 Windows 11 的升级政策,进一步推动 TPM 在整个 Windows 生态系统中的普及。这有助于建立一个更安全、更可信的硬件和软件生态环境。
用户遇到的问题和担忧:
尽管微软的出发点是为了安全,但这个强制性要求也给不少用户带来了麻烦和疑虑:
“被抛弃”的感觉: 许多还在正常服役、性能也足够满足日常需求的电脑,仅仅因为一个 TPM 2.0 的要求就无法升级到最新的 Windows 11,这让用户觉得自己的硬件被微软“抛弃”了,感觉像是被迫换新。尤其是对于那些几年前购买的中高端电脑,这更是让人觉得可惜。
兼容性问题:
旧硬件的 TPM 支持问题: 一些较旧的电脑,尤其是几年前的非品牌机或一些入门级产品,可能根本就没有 TPM 芯片,或者即使有,也可能是 TPM 1.2 版本,无法满足 TPM 2.0 的要求。
主板设置问题: 即便硬件支持,也可能需要在 BIOS/UEFI 中手动启用 TPM(通常叫做 PTT 或 fTPM)。很多普通用户对此并不了解,或者不敢轻易改动 BIOS 设置,担心误操作导致电脑无法启动。
信息不对称和误解: 很多用户在购买电脑时,并不会特别关注 TPM 模块,甚至不知道它的存在。当突然被告知无法升级时,才会去了解,但此时很多电脑已经不符合要求。
升级的必要性: 一些用户认为自己的电脑目前运行良好,对 Windows 11 的新功能并不十分渴求,或者认为当前的 Windows 10 已经足够安全。他们不理解为什么为了一个看起来“看不见摸不着”的硬件要求,就要被剥夺升级新系统的权利。
“变相推销”的疑虑: 部分用户也担心这是一种变相的硬件升级策略,逼迫用户购买新电脑,从而带动微软和硬件厂商的销售。
如何看待?我的个人看法是:
从微软的角度来说,坚持 TPM 2.0 是一个长远的、负责任的安全策略。 在安全问题日益突出的今天,建立硬件层面的信任根基是必要的。随着时间推移,老旧的硬件确实会成为系统安全的薄弱环节。强制要求 TPM 2.0 是在为 Windows 的未来安全打下基础,这对于整个数字生态系统是有益的。
但从用户体验和实际操作层面来看,微软的处理方式确实存在一些可以改进的地方:
沟通和普及不足: 在公布 Windows 11 的要求之前,微软本可以做得更好,提前就 TPM 2.0 的重要性进行更广泛的科普,让用户了解自己的硬件状况,并为升级做好准备。许多用户是在得知无法升级后,才第一次听说 TPM。
过于一刀切: 虽然强制要求有助于统一标准,但对于那些完全能够满足 Windows 11 其他运行要求的旧电脑,仅仅因为 TPM 2.0 的缺失就将其拒之门外,显得有些过于严苛,缺乏灵活性。如果用户愿意承担潜在的安全风险,或者对 TPM 的功能并不依赖,是否应该提供一个“不推荐但允许安装”的选项?虽然微软也提供了绕过检测的方案,但这是官方不鼓励的。
对用户选择的尊重: 安全固然重要,但最终决定是否承担风险的,应该是用户本人。微软的强制要求剥夺了用户在安全认知和硬件使用上的自主选择权。
总而言之,微软推行 TPM 2.0 是为了提升 Windows 11 的安全性,这是大方向没错,也是一种前瞻性的安全考量。但其强制性的执行方式,以及在前期沟通和用户教育上的不足,确实让很多用户感到困扰和不满。这反映了技术进步与用户接受度之间、以及厂商安全目标与用户实际需求之间的一个复杂平衡。
对于已经拥有不符合要求的硬件的用户,如果非常想体验 Windows 11,目前的技术手段是可以绕过检测的,但官方不建议这样做,因为这可能会影响系统的稳定性和安全性更新。对于大部分普通用户来说,如果电脑还能正常使用,并且对 Windows 11 的新功能没有迫切需求,继续使用 Windows 10 也是一个完全可行的选择,至少在 2025 年 10 月之前,Windows 10 仍然会获得安全更新支持。长远来看,当需要更换电脑时,选择一款支持 TPM 2.0 的新设备是必然趋势。
网友意见
可能是整个安全生态变了。
由于Windows最最开始的时候,电脑还算是比较专业的设备,用户素质都较高,所以windows默认的设计是认为用户是善良且配合的,Windows安全的任务是协助善良且配合的用户搭建起计算机安全防御。
然而历史证明,对于普通用户而言,这是个错误的假设。
普通用户球都不懂,只会觉得你碍事,出了事又要赖你头上。而且经常会因为爱贪小便宜装乱七八糟的东西,只为了看小电影、玩盗版游戏、打游戏开挂。
这种生态下,在PC上搞游戏简直是自杀行为。
所以乔布斯一开始的眼光就是正确的,对于普通用户使用的消费级设备,不能给root或者administrator权限,必须整个生态都处在被管理的状态。
索尼微软在游戏机上的加密可以说是消费者领域最严格的,因为这种平台被盗版马上就是死。PC即使没有因为盗版而无法盈利的风险,在以后游戏通服的时代,搞不好安全导致外挂泛滥,影响的也是整个Xbox平台的体验,微软要推行自己的游戏生态,不加密怎么行?
然后就是接入安卓应用,也是一样的问题。大多数安卓手机,系统还是一个被管理的相对安全的环境,直接在模拟器上跑安卓app,对于应用厂商来说是个很严重的安全隐患,微软必须加强安全防范,打消厂家的顾虑。
这样来看,仅仅是要求TPM存在,已经是很客气的了
直接wim安装甚至ghost呢?
我就是win10还在ghost的人。
更新一下,关于Intel 8代的要求就是单纯的懒得做兼容,没有花里胡哨的原因.jpg
你问我咋知道的?新闻里说的.rmvb
作为一个专业人士,给大家科普一下,为啥要求TPM,Intel8代之后的处理器以及为什么我个人推荐微软保留这个要求。
要注意,为了没有基础的同学的理解,我会在文章中调整一些技术原理的描述与顺序,这并不影响普通人阅读这篇文章,也不会给普通人带来误导,但是请不要将这篇文章当成严谨的技术参考。
太长不看版的答案: 为了安全
Part 1:如果我想偷你的密码...
假设,我是个坏人,你是个亿万富豪,你天天用电脑处理大笔的资金流,同时你还有个价值999999999RMB的游戏账号,同时还在这台电脑上处理大把的商业机密...
总之,这是非常有诱惑力的一台设备。
有些朋友就打算关掉这个回答了:哎我没这么多钱,我就一臭打游戏的,你拿我没办法!
别急,我可以偷偷打开你的摄像头,拍下你的私密照片;通过你的系统做跳板,在你连接上手机的时候感染你的手机来发送垃圾短信;再不行就在后台挖挖矿;翻翻你的电脑,看看你有没有啥重要的文件,加密之后让你交赎金...
Part 2:当前的对策...
当然,很多情况下,这些问题都源于软件的漏洞 -- 有些来自操作系统,有些来自第三方软件,甚至有些来自杀毒软件。这很合理,因为人是不完美的,所以人写出来的东西也是不完美的,难免会有漏洞。
那么,如果我们不能完全阻止漏洞的产生,那么就要想办法减少他们的危害 -- 这就是漏洞缓解策略,如果你喜欢在Windows的设置里乱逛的话,应该打开过这个界面
其中,应用和浏览器控制中的内容就是为了保证第三方应用中的漏洞尽可能的不会影响到系统的安全性。点开Exploit Protection(漏洞利用保护,不知道为啥微软没翻译这东西),就可以看到微软做了哪些保护。
看起来,好像好了不少,但是存在一个严重的问题,这些措施并不是完美的,他们可以拦住绝大部分的新手,但是对于顶尖的(其实并没有要求这么高,我这种菜狗都可以)安全人员,依然存在被绕过的可能,那么我们就要利用新的策略 -- 隔离
隔离,非常简单,就是让应用只能在自己的一亩三分地上蹦跶,哪怕是出了漏洞,变成了内鬼,也没办法越过操作系统的管辖去危害其他应用以及窃取你的个人信息。在目前的操作系统中,Edge浏览器,Chrome浏览器,以及所有从应用商店下载的程序都是强制开启隔离的(满怀恶意的猜测一下,也许某些国产流氓不上应用商店是因为不好偷数据了.jpg)
看到这里,似乎我是想表达,现在已经非常安全了,但是...要注意,隔离,他的安全性是依赖于操作系统自身的安全性,那么,如果玩了半天,内鬼就是操作系统我自己呢?
Part 3:最后的一块拼图:TPM与硬件增强型安全
当然我这种三流安全研究员能想到的事情,微软的安全工程师当然也想到了。这就是安全中心里“设备安全性”中的内容。
如果我想在内核里搞点花里胡哨的破坏,那么势必要修改内核中的代码来完成我的目的,为了防止在运行中自己的代码被修改,微软推出了两项功能:Patch Guard(内核修改防护)和内核隔离
Patch Guard的原理非常简单,操作系统会去时不时的检查一下被保护的部分有没有被乱改,如果被改了,那就当场蓝屏给你看;而内核隔离对于我们来说有点超纲,就不展开说了。
Patch Guard的策略相当成功,每次更新,都会耗费攻击者两三个月的时间去寻找破解的方法,但是他还是有一个弱点 -- 如果我在开机之前就将这部分代码禁用掉,那不就完美了?
所以为了对抗这些东西,微软整出了新的策略:安全启动
借用一段Windows的原话:
安全启动可防止在启动设备时加载复杂且危险的恶意软件(rootkit)。Rootkits 使用与操作系统相同的权限,并在操作系统之前启动,这意味着他们可以完全隐藏自己。Rootkits 通常是一整套恶意软件的一部分,这些恶意软件可以绕过本地登录、记录密码和击键、传输私人文件和捕获加密数据。
由于UEFI的特性,这些Rootkits(实际上是Bootkits )在系统启动后是完全不可见的,也就意味着杀毒软件和操作系统拿他们完全无能为力,所以唯一的解决方案是从一开始就阻止他们加载。
由于展开讲这就会变成一个无趣的密码学催眠讲堂,我就直接总结出几点结论:
- 由于验证“这个引导项目是不是微软所发布的”需要大量的密码学计算并且需要一个绝对可信的环境,所以TPM是唯一的解决方案。CPU由于各种原因并没有办法可信的保存这一切检查所需的数据。
- 由于TPM 1.X所支持的最强加密对于当前的计算机来说已经太弱了,不足以保证安全,所以TPM2.0是最低的要求。
- 。。。没有3了。
好了,解释完TPM, 我们来看看CPU的要求。我们对比一下7700k和8700k,看看他们有啥区别
差距只有一条,那就是英特尔 vPro ®技术是否被支持。通过Intel自己的介绍,我们找到了这么一段话
基于硬件的安全功能
猖獗的网络安全威胁加上多个漏洞点,使安全成为首要业务重点。PC 对 IT 安全至关重要。平均而言,50% 的关键企业数据位于未受保护的台式机和笔记本电脑上。10威胁可以通过任何计算机进入组织并迅速传播,导致员工停工和生产力下降。
安全决策从 PC 开始。英特尔 vPro ®平台旨在提供基于硬件的创新安全功能,帮助最大限度地降低与安全威胁相关的风险。
英特尔 vPro ®平台的一部分,英特尔®硬件盾提供增强的保护,防止操作系统以下的攻击,并增强威胁检测功能,提高平台安全性。英特尔®硬件屏蔽有助于减少攻击表面,防止损坏固件级别的攻击,同时卸载常规安全功能,以降低用户影响和持续工作效率。
此外,英特尔®主动管理技术的远程管理允许 IT 管理员远程补救和恢复受感染的设备,即使设备已脱离频段。管理员还可以为关键安全更新推送修补程序。
所以很明确了,这些看上去诡异的要求是为了让你在玩游戏的时候不被挂B打到心态爆炸,不会银行卡悄咪咪的余额变成0,不会写了四个月的论文要交赎金才能打开,不会成为国产区的主角
类似的话题
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有