大家知道,为了提高系统的安全性,Windows 11将把TPM2.0、安全启动和UEFI模式列为运行它的强制选项。那么这些组件有什么作用,它们又是怎样保护Windows 11的安全的呢?
1.认识安全启动
一些朋友在尝试更新到Windows 11的时候,安装程序会提示“该电脑必须支持TPM2.0和安全启动”,因为电脑没有开启这些安全选项,从而导致无法成功安装Windows 11(图1)。
那么什么是安全启动?我们先了解一下Windows的启动过程,对于传统的BIOS启动方式,当用户按下按主机电源键后BIOS开始自检,并加载相应的主引导记录和引导文件开始启动系统,具体流程如图2所示。
这种传统的启动方式有个弊端,那就是在加载引导文件的时候没有进行相应的安全检测,这样一些引导型的病毒一旦在BIOS自检后开始加载,由于它们比系统中的杀毒软件优先启动,这就导致进入系统后无法对它们进行查杀。Windows 11强制要求的安全启动,在加载UEFI固件后对于任何要加载的模块都要进行签名验证,确保启动的是可信的安全模块,它的启动流程如图3所示。
那么UEFI是怎样实现安全启动的呢?根据UEFI安全规范,主板出厂的时候,可以内置一些可靠的公钥。然后任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软硬件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染系电脑的启动过程。
根据微软的规定,所有预装Windows 11操作系统的厂商(即OEM厂商)都必须打开安全启动(Secure Boot),经过认证的Windows 11公钥固化在主板上,这样可以有效地避免恶意软件启动Windows 11。所以如果没有在主板开启安全启动功能,Windows 11就会拒绝安装,从而导致如图1所示的问题。
2.如何开启安全启动功能
那么如果在安装Windows 11时遇到如图1所示的问题该怎么解决?因为Windows 11将把TPM2.0、安全启动和UEFI模式作为强制安全选项,所以解决方法是在主板BIOS中开启上述三个选项。
1.开启安全启动
安全启动开启选项在主板BIOS设置中,用户只要按照主板说明进行开启即可。以华硕主板操作为例,开机后按DEL键进入BIOS设置界面,接着切换到“BOOT”菜单,在下方找到“Secure Boot state”,将其选项设置为“Enable”(开启),最后按F10键保存退出(图4)。
2.开启UEFI启动
因为安全启动需要UEFI模式的支持,所以还需要在BIOS中将电脑的引导模式设置为UEFI,同上进入BOOT菜单,定位到OSType模式,在右侧菜单下拉列表选择“WindowsUEFIMode”,按F10键保存退出(图5)。
3.开启TPM2.0支持
先确认自己的主板有TPM模块(近5年新装的电脑一般都有该模块),以微星主板AMD平台开启TPM功能操作为例,按DEL键进入BIOS后,按F7进入高级模式,依次选择“Settings→Secunty→Trusted Computing”,将AMD TPM Switch选项设置为“AMD CPU TPM”,按F10键保存退出(图6)。
这样电脑完成上述的设置后,再使用Windows 11安装盘启动系统进行安装,就可以顺利地完成安装了。
3.绕过安全启动验证安装Win11
如上所述,如果你要安装Windows 11原版ISO操作系统,用常规方式使用ISO文件启动安装后,安装程序会在安装过程中检测TPM2.0、安全启动功能的开启状况,若电脑未开启上述选项,则会出现如图1所示的提示。如果要在未开启上述选项的电脑上安装Windows 11,那么可以使用手动安装的方法来安装Windows 11。这里以Windows 10中的操作为例。
先到https://www.cr173.com/soft/44758.html下载WinNTSetup,接着打开资源管理器,然后将准备好电脑的Windows 11安装文件(ISO格式)加载到虚拟光驱。启动WinNTSetup后:在选择Windows安装文件的位置,选择上述加载到虚拟光驱中的“\sources\install.esd”文件。在选择引导驱动器的位置,选择本地C盘,这样Windows 11的引导信息会添加到BCD配置文件中。
在选择安装驱动器的位置选择D:,请预先准备好安装Windows 11的空闲分区。在相应的选项下,选择“install.esd”镜像文件中Windows 11的版本,这里选择PRO版。其他参数保持默认,最后点击“安装”(图7)。
这样用户使用手动的方式将Windows 11系统文件解压到了D:\,从而绕过了Windows 11安装程序对本机的检测。重启电脑后,按提示选择新增的Windows 11菜单进入,按屏幕的提示完成Windows 11的安装即可。
完后Windows 11的安装后进入系统,点击“开始→运行”,输入“msinfo32”,回车后打开系统信息窗口,在右侧窗口查看BIOS模式参数为“传统”(如果是UEFI安全启动显示的则为“UEFI”),即用户安装的Windows 11使用的是传统BIOS启动,没有使用安全启动(图8)。
继续在运行对话框,输入tpm.msc,在弹出的对话框中“状态”可以看到,目前Windows 11也没有启用TPM,至此用户也能顺利地在普通电脑上成功安装Windows 11系统(图9)。
小结:按需选择体验Win11
Windows 11默认把TPM2.0、安全启动和UEFI模式列为运行它的强制选项,这样可以更好地保护系统的安全,如果你的硬件支持,强烈建议启用上述安全选项来体验Windows 11。当然对于旧电脑,通过手工方式也可以绕过安装Windows 11的限制。对于希望第一时间尝鲜Windows 11的用户,不妨按照自己电脑的实际情况自主选择安装方式。
电脑