梦晨 发自 凹非寺
量子位 报道 | 公众号 QbitAI
Windows11公布了,我还挺激动的。
毕竟是Windows嘛,运行久了总会出问题,反正要重装系统,不如干脆装个新的。
可是一运行微软给的测试工具,啊这,怎么我的电脑还装不了新系统?
查了一下才知道,原来安装需要支持UEFI安全启动和TPM2.0。
UEFI安全启动还好说,一般在BIOS里开启Secure Boot就行了。
这个TPM2.0是啥,怎么从来没听说过?
其实你电脑里已经带了
TPM指的是可信平台模块 (Trusted Platform Module),一种符合安全标准的芯片,可以为硬件提供安全保护。
长这个样子:
国外有很多人一听到这个消息就跑到ebay上去买TPM模块,12小时里价格抬高了4倍。
敲黑板了,TPM芯片是不需要大家单独购买的,现在主板上一般都会集成,不过默认不会开启。
在英特尔平台的主板BIOS里一般叫做Platform Trust Technology或简称PTT,可以在BIOS的安全设置或进阶设置中找到。
在AMD平台上叫AMD fTPM,可以在BIOS的进阶设置里找到。
在BIOS中开启之后,启动系统运行tpm.msc,如果出现这个就算成功开启了:
主板不支持怎么办?
那么主板不支持TPM,或只支持到老版本TPM1.2怎么办,想装个Windows11还得换电脑吗?
不用担心,神通广大的网友分析之前泄露的安装镜像已经找到了解决办法。
操作也不复杂,就是把Win10启动U盘中的install.wim换成Win11的。
用解压软件打开Win11镜像文件,找到sources文件夹:
在sources里面找到install.wim文件,就是按大小排序最大的那个。
安装镜像总共4.8G,install.wim就占了4.2G,里面装的正是操作系统的核心内容。
把这个文件复制出来,粘到Win10的引导U盘里替换掉Win10的install.wim,就完成了偷梁换柱。
用Win10不需要检查TPM的安装程序启动以后,实际安的是Win11。
微软为什么强制要求TPM
其实TPM芯片已经广泛用于商务电脑和笔记本,能够提供硬件级别的安全防护。
在Win10的时候微软就建议OEM厂商提供支持TPM的硬件,但不是强制的。
这次,微软希望通过新系统Windows11把硬件级别的安全防护推广到个人消费者。
近几年很猖狂的勒索病毒,光靠软件上的措施难以完全防护,TPM可以做到即使操作系统被破坏,也能阻止恶意软件的加密尝试。
比如指纹和人脸识别可以在芯片中运算,数据不必传到云端,避免了从云端泄露隐私的可能。
另外TPM芯片还可以确保设备只使用原始设备制造商(OEM)信任的软件引导。
计划听起来不错,但实现起来没那么简单。
从历代Windows新系统发布时的情况来看,想让用户升级需要漫长的时间。
2015年就正式发布的Win10,到了19年1月市场占有率才超过Win7。
而积极升级的早期用户通常使用水平较高,完全可以使用上面的方法绕开TPM限制。
所以这个强制要求更多的是对硬件厂商而不是消费者的要求,让新主板、新整机都支持并默认开启TPM功能,逐渐淘汰旧的设备。
参考链接:
[1] https://en.wikipedia.org/wiki/Trusted_Platform_Module
[2]https://support.microsoft.com/en-us/topic/windows-hello-for-business-mitigation-plan-for-vulnerability-in-tpm-cca3460f-d53c-4f36-3af3-5a4b778af933
[3]https://allthings.how/how-to-install-windows-11-on-legacy-bios-without-secure-boot-or-tpm-2-0/
[4]https://www.windowscentral.com/tpm-windows-11-what-it-means
[5]https://www.theverge.com/2019/1/2/18164916/microsoft-windows-10-market-share-passes-windows-7-statistics