了解微软对 Windows 11 安全功能的立场
微软一直强调安全功能(例如可信平台模块 (TPM) 2.0、基于虚拟化的安全性 (VBS) 和安全启动)在 Windows 11 环境中的重要性。尽管这些技术之前就已经存在,但随着 Windows 11 的推出,它们的实施成为强制性要求。该公司提供了视觉演示来阐明这些功能提供的增强安全优势。
最近更新:Windows 11 24H2 功能更新
随着 Windows 11 24H2 功能更新最近发布并开始向用户推出,微软在其官方网站上更新了多篇支持文章。其中一项值得注意的更新涉及通过 BitLocker 实现的自动设备加密,俗称“Auto-DE”。本节经过修订,以解释 TPM 和安全启动在启用设备加密方面发挥的重要作用。
文档中有哪些变化?
此前,支持文章提出了以下重要问题:
为什么设备加密不可用?
以下是确定设备加密不可用的原因的步骤:
从“开始”菜单,键入“系统信息” ,在结果列表中右键单击“系统信息” ,然后选择“以管理员身份运行”。
在系统摘要中,找到自动设备加密支持或设备加密支持的值。
该值表示设备加密不可用的原因。
如果该值表示满足先决条件,则可以在您的设备上访问设备加密。
来自微软的最新见解
新修订的文件阐明:
为什么设备加密不可用?
确定设备加密无法访问的原因如下:
从“开始”菜单,键入“系统信息” ,在搜索结果中右键单击“系统信息” ,然后选择“以管理员身份运行”。
在系统摘要中,检查自动设备加密支持或设备加密支持的值。
该值概述了设备加密的支持状态:
- 满足先决条件:您的设备上具有设备加密功能。
- TPM 不可用:您的设备缺少可信平台模块 (TPM),或者 TPM 未在 BIOS 或 UEFI 中激活。
- WinRE 未配置:您的设备上未设置 Windows 恢复环境。
- 不支持 PCR7 绑定:安全启动被禁用,或者在启动期间连接了外围设备。
关键安全组件说明
本文档重点介绍了基本先决条件,包括 TPM、Windows 恢复环境 (WinRE) 和安全启动。此外,Microsoft 还引入了 PCR7 或平台配置寄存器 7 的概念,这对于与 BitLocker 绑定至关重要。此绑定可确保 BitLocker 加密密钥仅在特定启动阶段加载。
安全启动在启动过程中通过验证必要的 Microsoft Windows PCA 2011 证书的有效性发挥着关键作用。如果检测到无效签名,BitLocker 将与 PCR7 以外的配置文件绑定,从而削弱其有效性。
对 Windows 11 用户的更广泛影响
对于那些对 Windows 11 24H2 更新中 BitLocker 和加密的相关性感到好奇的人,微软简化了 Auto-DE 的 OEM 要求。因此,即使是家用电脑也可以使用自动加密。在此更新之后,该公司发布了 BitLocker 密钥的有价值的恢复和备份指南,用户应考虑将其加入书签以供将来参考。
此外,第三方备份和克隆解决方案(例如 Acronis)正在适应包含与这些更新相符的重要变化。
结论:合格硬件的重要性
总之,微软强调使用最新版本 Windows 的官方支持硬件的必要性。该公司的坚定立场是,如果您当前的机器不符合要求(尤其是关于 TPM 2.0),您可能需要考虑升级以确保设备的安全。
该公司最近重申了其对 Windows 11 系统要求的立场,特别是有关不受支持的硬件,强调 TPM 2.0 对用户来说是一项必不可少的功能。
发表回复