大家知道,为了提高系统的安全性,Windows11将把TPM2.0、安全启动和UEFI模式列为运行它的强制选项。那么这些组件有什么作用,它们又是怎样保护Windows11的安全的呢?
1.认识安全启动
一些朋友在尝试更新到Windows11的时候,安装程序会提示“该电脑必须支持TPM2.0和安全启动”,因为电脑没有开启这些安全选项,从而导致无法成功安装Windows11(图1)。
那么什么是安全启动?我们先了解一下Windows的启动过程,对于传统的BIOS启动方式,当用户按下按主机电源键后BIOS开始自检,并加载相应的主引导记录和引导文件开始启动系统,具体流程如图2所示。
这种传统的启动方式有个弊端,那就是在加载引导文件的时候没有进行相应的安全检测,这样一些引导型的病毒一旦在BIOS自检后开始加载,由于它们比系统中的杀毒软件优先启动,这就导致进入系统后无法对它们进行查杀。Windows11强制要求的安全启动,在加载UEFI固件后对于任何要加载的模块都要进行签名验证,确保启动的是可信的安全模块,它的启动流程如图3所示。
那么UEFI是怎样实现安全启动的呢?根据UEFI安全规范,主板出厂的时候,可以内置一些可靠的公钥。然后任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软硬件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染系电脑的启动过程。
根据微软的规定,所有预装Windows11操作系统的厂商(即OEM厂商)都必须打开安全启动(SecureBoot),经过认证的Windows11公钥固化在主板上,这样可以有效地避免恶意软件启动Windows11。所以如果没有在主板开启安全启动功能,Windows11就会拒绝安装,从而导致如图1所示的问题。
2.如何开启安全启动功能
那么如果在安装Windows11时遇到如图1所示的问题该怎么解决?因为Windows11将把TPM2.0、安全启动和UEFI模式作为强制安全选项,所以解决方法是在主板BIOS中开启上述三个选项。
1.开启安全启动
安全启动开启选项在主板BIOS设置中,用户只要按照主板说明进行开启即可。以华硕主板操作为例,开机后按DEL键进入BIOS设置界面,接着切换到“BOOT”菜单,在下方找到“SecureBootstate”,将其选项设置为“Enable”(开启),最后按F10键保存退出(图4)。
2.开启UEFI启动
因为安全启动需要UEFI模式的支持,所以还需要在BIOS中将电脑的引导模式设置为UEFI,同上进入BOOT菜单,定位到OSType模式,在右侧菜单下拉列表选择“WindowsUEFIMode”,按F10键保存退出(图5)。
3.开启TPM2.0支持
先确认自己的主板有TPM模块(近5年新装的电脑一般都有该模块),以微星主板AMD平台开启TPM功能操作为例,按DEL键进入BIOS后,按F7进入高级模式,依次选择“Settings→Secunty→TrustedComputing”,将AMDTPMSwitch选项设置为“AMDCPUTPM”,按F10键保存退出(图6)。
这样电脑完成上述的设置后,再使用Windows11安装盘启动系统进行安装,就可以顺利地完成安装了。
3.绕过安全启动验证安装Win11
如上所述,如果你要安装Windows11原版ISO操作系统,用常规方式使用ISO文件启动安装后,安装程序会在安装过程中检测TPM2.0、安全启动功能的开启状况,若电脑未开启上述选项,则会出现如图1所示的提示。如果要在未开启上述选项的电脑上安装Windows11,那么可以使用手动安装的方法来安装Windows11。这里以Windows10中的操作为例。
先到