微軟列出為何 TPM、安全啟動在 Windows 11 上是強制性要求

三年多前，當微軟發布Windows 11時，這款作業系統立即引發了不少爭議。不僅因為介面不規範，還因為對硬體的要求很高，許多系統仍然有可能無法運行正式版的 Windows 11，例如在 TPM 和安全啟動的情況下。

微軟曾多次解釋為什麼 TPM（可信任平台模組）2.0、VBS（基於虛擬化的安全性）和安全啟動等功能對 Windows 11 PC 如此重要。由於這些功能提供了增強的安全性優勢，微軟要求使用者的電腦支援這些功能才能使用 Windows 11，並且已經發布了視覺演示來更好地解釋這些功能的工作原理。

近日，配合Windows 11 24H2功能更新，微軟在其官網更新了其中一篇支援文章，標題為“透過BitLocker自動進行設備加密”，微軟稱之為“Auto-DE”。值得注意的是，該文件提到了為什麼設備加密需要 TPM 和安全啟動。

以下是編輯前的支援文件內容。

為什麼設備加密不可用？

以下是確定裝置加密不可用的原因的步驟：

1. 從開始功能表中，鍵入系統訊息，右鍵點選結果清單中的系統訊息，然後選擇以管理員身分執行。

2. 在系統摘要 - 項目清單中，尋找值自動設備加密支援或裝置加密支援。

• 該值提供了無法啟用裝置加密的原因。
• 如果值顯示滿足先決條件，則裝置加密目前在您的裝置上可用。

以下是編輯後的支援文件內容。

為什麼設備加密不可用？

以下是確定裝置加密不可用的原因的步驟：

1. 從開始功能表中，鍵入系統訊息，右鍵點選結果清單中的系統訊息，然後選擇以管理員身分執行。

2. 在系統摘要 - 項目清單中，尋找值自動設備加密支援或裝置加密支援。

該值描述了設備加密的支援狀態：

• 滿足先決條件：您的裝置支援裝置加密
• TPM 不可用：您的裝置沒有可信任平台模組 (TPM)，或 BIOS 或 UEFI 中未啟用 TPM。
• WinRE 未設定：您的裝置未設定 Windows 復原環境。
• 不支援 PCR7 綁定：BIOS/UEFI 中停用了安全啟動，或您在啟動期間將外圍設備連接到裝置（例如專用網路介面、擴充座或外部顯示卡）

基本上，文章詳細說明了那些未滿足的「先決條件」是什麼。這些包括 TPM、WinRE（Windows 復原環境）和安全啟動。

另外微軟也提到了PCR7。 PCR（平台配置暫存器）是 TPM 上的記憶體位置，用於儲存哈希演算法。 PCR 設定檔 7（或 PCR7）與 BitLocker 相關聯。此連結確保加密金鑰（在本例中為 BitLocker 金鑰）僅在啟動過程中的某個時間段內加載，而不是在之前或之後加載。

這就是安全啟動發揮作用的地方，因為它在啟動期間驗證並認證所需的 Microsoft Windows PCA 2011 證書，因為無效的簽名將導致 BitLocker 使用 7 以外的設定檔。

最近，雷德蒙巨頭意外降低了最新版本 Windows 上 Auto-DE 的 OEM 要求，因此即使是家用電腦也可以自動加密，這重新引起了人們對 Windows 11 24H2 上的 BitLocker 和加密的興趣。此後不久，該公司也發布了 BitLocker 金鑰的便利備份和復原指南。

不久前，微軟也重申TPM 2.0是其作業系統不可協商的標準。