TPM 和 Windows 功能

[ 2023/02/25 21:26 | by gOxiA ]

Windows_logo_horiz_blue_rgb

TPM 和 Windows 功能

TPM

        Windows 11 的发布快速推动了 TPM 的普及率,从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间,在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护,但现在 TPM 已经作为一个必须启用的安全组件,包含在我们的 Modern Device 中。对于设备的最终用户,TPM 貌似并不直接与用户交互,但它却至关重要,例如 BitLocker 硬盘加密,Windows Hello 生物验证都需要用到 TPM,并且很多关键的安全功能也都会使用到 TPM,不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM,下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。

  • 度量启动,需要 TPM,支持1.2和2.0,并依赖 UEFI 安全启动,微软建议使用 TPM 2.0,因为支持较新的加密算法。
  • BitLocker,非必须 TPM,支持1.2和2.0,虽然 TPM 不是必须的,但微软建议基于 TPM 2.0 实施 BitLocker,因为性能更好,更安全可靠。
  • 设备自动加密,需要 TPM,支持2.0,OEM 或 组织 IT 可以借助自动加密技术,预先配置 BitLocker,当条件满足时就会立刻启用 BitLokcer,无需等待或单独配置。
  • Windows Defender System Guard(DRTM),需要 TPM,支持2.0。
  • Credential Guard,非必须 TPM,支持1.2和2.0,与 DRTM 集成,利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。
  • 设备运行状况证明(Device Health Attestation),必须 TPM,支持1.2和2.0,微软建议使用 TPM 2.0,因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。
  • Windows Hello/Hello Business,非必须 TPM,支持1.2和2.0,AAD虽然加入了两个版本的支持,但需要带有键控哈希消息身份验证代码(Keyed-hash message authentication code - HMAC)和认可密钥(Endorsement Key - EK)证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。
  • TPM 平台加密提供程序密钥存储提供程序,需要 TPM,支持1.2和2.0。
  • 虚拟智能卡,需要 TPM,支持1.2和2.0。
  • 证书存储,非必须 TPM,支持1.2和2.0,仅当证书存储在 TPM 中时才需要 TPM。
  • Windows Autopilot,非必须 TPM,支持2.0,当使用自部署模式和预配部署模式(过去称之为 白手套模式)需要 TPM。
  • SecureBIO,需要 TPM,支持2.0。


        注意:TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持,具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI,并且必须禁用旧版和兼容性支持模块(CSM)选项。为了增强安全性,还应启用安全启动(Secure Boot)。

Windows_logo_horiz_blue_rgb

HOWTO: 解决 Windows 11 下 Edge 提示“你的连接不是专用连接”问题

        前几天遇到一个问题,一台 Windows 11 笔记本电脑连接其家中的路由器,上网访问网站一直报“你的连接不是专用连接”,看起来像是网站证书的问题,如果继续访问大概率会提示“未检测到入户网线”。重启路由器无效,重置 Microsoft Edge 浏览器依旧无法解决。

edge-issue

mirouter-issue

        排查家庭网络,发现入户光缆与GPON连接,然后室内网线连接至客厅电视旁的移动路由器,走的PPPoE拨号方式入网。为了解决室内Wi-Fi信号覆盖,移动路由下又连接了一个小米的AX6000路由器,通过DHCP方式从移动路由获取地址进行网络访问,其他手机和笔记本都与小米AX6000连接上网。

image

        看起来这个网络结构也没有问题,并且手机访问网络并未出现前面的提示故障。只有 Windows 11 的电脑会发生。逐一排查 Edge 浏览器配置,一个功能引起了注意 - “使用安全的DNS指定如何查找网络的网络地址”,该选项被打开,并且配置为“使用当前服务提供商”。

edge-disable-securedns

        随即将其禁用,并且打开小米AX6000管理界面,手动指定了DNS后,故障消失。初步怀疑是因为使用了安全DNS后发生了查询异常,或者被“拦截”。

Windows_logo_horiz_blue_rgb

微软推动 Windows 自动启动的功能更新

        相信细心的 IT 朋友在微软最近发布的一篇文档中或网上的新闻中已经留意到微软正在 Windows 11 上继续推动一项举措,即:自动启动的功能更新。自 WaaS 以来,Windows 10 和 Windows 11除了每年一次的功能更新以外(Win10 1809 OSBuild 17763,1909 OSBuild 18363,20H1 OSBuild 19041,20H2 OSBuild 19042,21H1 OSBuild 19043,21H2 OSBuild 19044,22H2 OSBuild  19045;Win11 21H1 OSBuild 22000.1516,22H2 OSBuild 22621),Windows 系统还会在每月收到质量更新(如 gOxiA 当前系统是Windows 11 的 22H2,内部版本号是22621.1194,其中1194即每月质量更新后便会更新的数字版本),其中包括功能改进、最新的安全威胁防护以及重要问题解决。

        运行 winver 可获取当前系统的版本信息。

winver

        要持续接收每月更新,必须确保在使用的 Windows 版本是受支持的,也就是我们常说的在生命周期支持内的 Windows,每一个功能更新版本都有一个生命周期,如果生命周期结束,该版本则无法接收每月更新,除非更新到受支持的功能更新版本上。为了帮助设备保持在受支持的 Windows 版本上,Windows 更新会在服务结束之前或即将结束服务时自动为设备启动功能更新。在过去用户可以自行跳过或忽略功能更新

        注意,自动功能更新仅提供给消费者类型的用户设备以及非托管的商业类型设备。所以,并非向网上某些媒体宣传的那样“可怕”。

        最后,提供一些有价值的参考资料:

Windows 10 和 Windows 11 的发布信息可参考:


Windows 质量更新和功能更新介绍:

分页: 7/148 第一页 上页 2 3 4 5 6 7 8 9 10 11 下页 最后页 [ 显示模式: 摘要 | 列表 ]