在 Windows 10 之前，Windows 的版本更新周期基本維持在 3-4 年左右，像 Windows 10 這樣運(yùn)營 6 年仍未迎來大更新的版本實(shí)屬少見。 

就在大家都以為，微軟已為 Windows 畫上句號時，微軟突然宣布了 Windows 11 的來臨。

無論微軟是不是在打自己過去的臉，Windows 11 還是給與 Windows 10 朝夕相處 6 年之久的老用戶們帶來很多新鮮感，并且這次升級是免費(fèi)的，很多用戶在正式版發(fā)布后便紛紛打算升級體驗(yàn)。 

 

然而，一些電腦硬件比較舊的用戶卻發(fā)現(xiàn)，自己的電腦不滿足 Windows 11 的升級要求。

更奇葩的是，這并不是因?yàn)槠潆娔X的 CPU 性能不足，或者硬盤、內(nèi)存的容量不夠，而是因?yàn)橐活w從來沒聽過的芯片——TPM 2.0 安全芯片。

「啥 TPM 芯片，Intel 的還是 AMD 的?」 

 

由于 Windows 系統(tǒng)的安全性一直飽受詬病，微軟在 2011 年聯(lián)合了多家 PC 廠商一起推廣 TPM 安全芯片，以提高 Windows 系統(tǒng)的防御力，從此開始基本上每臺電腦出廠時都會內(nèi)置 TPM 1.2 芯片。

簡單來說，TPM 芯片專門用于處理電腦的加密密鑰，可以起到安全認(rèn)證、密鑰儲存等作用，相比起軟件的安全防護(hù)，TPM 提供的硬件級防護(hù)要封閉得多，所以更不易遭到病毒等惡意軟件入侵和篡改。 

 

新的 CPU 已經(jīng)集成了 TPM 2.0 芯片

2016 年，TPM 2.0 芯片開始推廣，不少廠商也跟上了更新的步伐，不過當(dāng)時的用戶們基本察覺不到這種「細(xì)枝末節(jié)」的升級，直到 Windows 11 的推出。

一些還在使用 TPM 1.2 時代硬件的用戶指責(zé)微軟借 Windows 11 升級強(qiáng)推 TPM 2.0 芯片的目的，其實(shí)是為了刺激老用戶更換新的硬件，加速硬件淘汰的速度。

因此他們研究出了很多能夠繞過 TPM 芯片檢測的方法強(qiáng)行升級 Windows 11，這些方法被形象地稱之為「偷渡」。 

 

微軟為此解釋稱，推廣 TPM 2.0 芯片的目的，其實(shí)是為了應(yīng)對越來越嚴(yán)峻的信息安全問題。 

 

微軟的安全研究人員發(fā)現(xiàn)，利用硬件固件漏洞(CPU、內(nèi)存、硬盤等)攻擊系統(tǒng)的行為正在日益漸增，并且這種惡意代碼很難被檢測或者清除，一旦感染，用戶只能重裝系統(tǒng)或者更換硬盤。

這些漏洞不僅會威脅用戶的信息安全，還會間接地對現(xiàn)實(shí)世界造成嚴(yán)重的影響，例如前些年讓全球陷入信息安全恐慌的勒索軟件一度讓醫(yī)院、加油站等重要機(jī)構(gòu)的電腦癱瘓，造成了難以挽回的損失。 

為了更直觀地解釋 TPM 2.0 芯片的重要性，微軟決定親自化身「黑客」，演示 Windows 11 在遭到入侵時是如何抵御的。

到底安不安全，入侵一下便知道 

微軟首席「內(nèi)鬼」

微軟請出了微軟企業(yè)和操作系統(tǒng)的安全主管 David Weston 來演示這場入侵。

David 在微軟建立了專業(yè)的黑客隊伍，他的工作就是要比黑客更快一步找到威脅系統(tǒng)的安全問題，因此在攻擊 Windows 這塊，他可以說是個專家。

David 首先演示的是遠(yuǎn)程入侵一臺沒有開啟 TPM 保護(hù)或安全啟動的 Windows 10 電腦，然后在這臺傀儡機(jī)上安裝勒索軟件，鎖定其硬盤。 

 

入侵的過程非常簡單，David 找到了一個開放的 RDP 端口，在遠(yuǎn)程強(qiáng)制登陸了這臺電腦。

而攻破其系統(tǒng)密碼的過程也很粗暴，就是檢索各種已泄露的密碼本來不斷嘗試解鎖，經(jīng)過幾分鐘或幾天的時間暴力破解就能攻破。 

 

一旦被黑客成功進(jìn)入系統(tǒng)，那么傀儡機(jī)基本上就喪失了控制權(quán)，黑客可以隨意植入勒索軟件等木馬，更改系統(tǒng)的引導(dǎo)文件，這時即使用 WinPE 或 WinRE 修復(fù)硬盤，也不能保證能夠完全恢復(fù)系統(tǒng)分區(qū)。

想要解鎖重要的數(shù)據(jù)，用戶就不得不用比特幣等加密貨幣向黑客支付高昂的贖金。

Windows 11 能夠怎么保護(hù)這些重要文件免受「綁架」呢?David 稱解決的辦法并不復(fù)雜，那就是使用自帶的「安全啟動模式」。

在 Windows 11 的安全模式下，系統(tǒng)在啟動時會檢查啟動程序的代碼與密鑰是否與 TPM 芯片的信息一致，確認(rèn)其是否被修改。

再根據(jù)運(yùn)行的健康引導(dǎo)日志，以正確的引導(dǎo)文件運(yùn)行，拒絕勒索軟件的修改，使你可以正常登陸 Windows 備份文件，從而將勒索入侵的損失降到最低。

演示完遠(yuǎn)程控制后，David 接著演示了另一種面對面的安全破解——用小熊軟糖破解指紋識別。

由于偽造一個完全相同的指紋非常困難，在大多數(shù)人固有印象里指紋識別非常安全。

想要強(qiáng)行破開指紋識別這道安全大門確實(shí)是個難題，但繞開它直接進(jìn)入系統(tǒng)卻是有可能的。

David 準(zhǔn)備了一個名為 PCI leech 的設(shè)備，它能夠通過雷電接口直接訪問電腦內(nèi)存的信息，只要給電腦打上一個「任何信息都能解鎖」的補(bǔ)丁，那么就能成功繞開指紋信息進(jìn)入電腦。

這時候，用任何有導(dǎo)電性的物體(手指、鼻子或者小熊軟糖等)都能解開電腦，從而訪問所有隱私內(nèi)容。

這種針對內(nèi)存的攻擊并不罕見，因?yàn)楹芏喑绦蛟谶\(yùn)行時數(shù)據(jù)都會儲存短暫地在內(nèi)存之中，攻擊者就會利用這個契機(jī)乘機(jī)修改數(shù)據(jù)。

如果你的電腦落入了懂得相關(guān)技術(shù)的不法分子手里，那么你收藏夾里的「機(jī)密文件」大概率是兇多吉少了。

不過如果你恰好使用了 TPM 芯片防護(hù)入侵，那么一切都將另當(dāng)別論。

David 隨之在一臺 Windows 11 系統(tǒng)電腦上做了相同的入侵演示，結(jié)果發(fā)現(xiàn)指紋識別依然能正確工作。

這是因?yàn)?，這時指紋識別的信息已經(jīng)不再是簡單地儲存在內(nèi)存中，而是被隔離出來，鎖定在一個獨(dú)立、安全的虛擬區(qū)域，每次讀取都需要密鑰的校驗(yàn)。

而密鑰則儲存在與外界隔絕的 TPM 芯片之中，安全性大大提高。

David 稱目前 Windows 11 中很多安全功能也能夠在 Windows 10 中使用，只是在上一個版本這些功能還只是可選功能，而現(xiàn)在為了提高 Windows 11 的安全性能而默認(rèn)啟用。

因此，無論你是否打算從 Windows 10 升級到 Windows 11，微軟都建議你檢查自己的 TPM 版本，并在 BIOS 將其啟用。

是時候該重視安全芯片了

除了能進(jìn)行系統(tǒng)級安全防護(hù)以外，TPM 2.0 芯片的保護(hù)措施還有很多，最為常見的應(yīng)該就是從 Windows Vista 時期加入的 Bitlocker。

對于企業(yè)級用戶而言，Bitlocker 驅(qū)動加密已經(jīng)變得不可或缺。Bitlocker 是一種全卷加密技術(shù)，簡單來說就是能給你的硬盤上一把鎖，即使硬盤被盜，小偷也不能從中讀取信息。

保護(hù)信息的關(guān)鍵，就是 TPM 2.0 芯片。當(dāng)你為你的磁盤進(jìn)行加密時，加密的部分密鑰會儲存在主板的 TPM 芯片之中。

這樣不僅能夠提供安全性更高的加密保護(hù)，而且當(dāng)你的硬盤不幸落入他人之手，也會因?yàn)槿鄙?TPM 芯片上的密鑰而無法使用，提供了強(qiáng)有力的脫機(jī)保護(hù)。

在數(shù)字貨幣和虛擬資產(chǎn)流行的當(dāng)下，很多「數(shù)字大亨」價值數(shù)十萬美元的 NFT 資產(chǎn)、數(shù)字錢包密鑰可能就保存在電腦硬盤之中，一旦遺失后果不堪設(shè)想。

因此對于個人用戶來說，利用類似 Bitlocker 等硬件級加密技術(shù)保護(hù)自己的重要數(shù)據(jù)也很有必要。

TPM 芯片除了可以數(shù)據(jù)安全，還有一些你意想不到的用途，例如用于游戲防作弊。

近年來我們見證了不少現(xiàn)象級游戲突然爆火，例如《絕地求生》《APEX》《糖豆人》等，它們爆火的原因各不相同，但「涼掉」的理由大多一致——外掛太多了。

游戲開發(fā)者與作弊者的斗爭，從游戲誕生的一日起便從未停止，而現(xiàn)在，有些開發(fā)者決定用更嚴(yán)苛的手段對付作弊者，其中就包括了《英雄聯(lián)盟》的開發(fā)商拳頭游戲。

拳頭游戲新作《無畏契約》的防作弊系統(tǒng) Vanguard 會檢測 Windows 11 的玩家是否啟用 TPM 2.0，如果未啟用將不能進(jìn)入游戲。

有安全專家分析，拳頭游戲是打算通過 TPM 2.0 芯片確認(rèn)作弊者的硬件信息，并對設(shè)備進(jìn)行永久封禁。

《無畏契約》的措施是激進(jìn)且大膽的，這可能會為其他網(wǎng)游公司帶來啟發(fā)，用物理封禁拉高作弊者的成本，但同時也有人這種更嚴(yán)格的監(jiān)管是對個人隱私的進(jìn)一步侵犯。

不過在 Windows 11 的推動下，類似《無畏契約》這種需要調(diào)用 TPM 2.0 芯片的游戲或應(yīng)用也許會變得越來越多。屆時，更高標(biāo)準(zhǔn)的信息安全防護(hù)需求，可能會成為人們更換設(shè)備的新理由。