Varför Windows 11 tvingar alla att använda TPM-marker

0
216

Microsoft meddelade igår att Windows 11 kommer att kräva TPM-chips (Trusted Platform Module) på befintliga och nya enheter. Det är en betydande hårdvaruförändring som har varit flera år i början, men Microsofts röriga sätt att kommunicera detta har lämnat många förvirrade om huruvida deras hårdvara är kompatibel. Vad är en TPM och varför behöver du ändå en för Windows 11?

“De betrodda plattformsmodulerna (TPM) är ett chip som antingen är integrerat i datorns moderkort eller läggs till separat i processorn”, förklarar David Weston, chef för företags- och operativsystemsäkerhet hos Microsoft. “Dess syfte är att skydda krypteringsnycklar, användaruppgifter och andra känsliga data bakom en hårdvarubarriär så att skadlig kod och angripare inte kan komma åt eller manipulera den informationen.”

Relaterat

Windows 11 är gratis, men din CPU kanske inte stöds officiellt

Så det handlar om säkerhet. TPM fungerar genom att erbjuda skydd på hårdvarunivå istället för endast programvara. Den kan användas för att kryptera skivor med Windows-funktioner som BitLocker, eller för att förhindra ordlistaattacker mot lösenord. TPM 1.2-chips har funnits sedan 2011, men de har vanligtvis endast använts i stor utsträckning i IT-hanterade bärbara datorer och stationära datorer. Microsoft vill ge samma skyddsnivå för alla som använder Windows, även om det inte alltid är perfekt.

Ett dedikerat TPM-chip som du förmodligen inte faktiskt behov av Windows 11.

Microsoft har varnat i flera månader om att firmwareattacker ökar. “Vår egen säkerhetssignalrapport visade att 83 procent av företagen upplevde en firmware-attack och att endast 29 procent tilldelar resurser för att skydda detta kritiska lager”, säger Weston.

Den 83-procentiga siffran verkar enorm, men när man tänker på de olika sårbarheterna för phishing, ransomware, supply chain och IoT, blir det breda utbudet av attacker mycket tydligare. Ransomware-attacker slår rubrikerna varje vecka och ransomware finansierar mer ransomware så det är ett svårt problem att lösa. TPM kommer säkert att hjälpa till med vissa attacker, men Microsoft bankerar på en kombination av moderna processorer, Secure Boot och dess uppsättning virtualiseringsskydd för att verkligen göra en bock i ransomware.

Microsoft försöker spela sin roll, särskilt eftersom Windows är den plattform som ofta påverkas mest av dessa attacker. Det används i stor utsträckning av företag över hela världen och det används mer än 1,3 miljarder Windows 10-maskiner idag. Microsofts programvara har varit kärnan i förödande attacker som gjorde globala rubriker, som det rysslänkade SolarWinds-hacket och Hafnium-hackarna på Microsoft Exchange Server. Och även om företaget inte ansvarar för att tvinga sina kunder att hålla sin programvara lappad, försöker den vara mer proaktiv när det gäller skydd.

Microsoft driver moderna Windows 11-datorer.

Microsoft har en vana att kämpa för att flytta Windows in i framtiden i både hårdvara och programvara, och just denna förändring har inte förklarats bra. Medan Microsoft har krävt OEM-tillverkare att leverera enheter med stöd för TPM-chips sedan Windows 10, har företaget inte tvingat användare eller dess många enhetspartners att aktivera dessa för att Windows ska fungera. Det är det som verkligen förändras med Windows 11 och i kombination med Microsofts Windows 11-uppgraderingskontroll har det resulterat i mycket förståelig förvirring.

Microsofts Windows 11-webbplats listar minimikrav på system, med en länk till kompatibla processorer och ett tydligt omnämnande att ett TPM 2.0 krävs minst. (Det är det inte.) PC Health Check-appen som Microsoft ber folk att ladda ner och kontrollera om Windows 11 körs kommer att flagga system som inte har stöd för Secure Boot eller TPM eller enheter som har processorer som inte officiellt stöds (något äldre än 8: e generationens Intel-chips).

Det är många som försöker ta reda på om deras enhet stöder TPM eller inte, förvirring med BIOS-inställningar och till och med folk som rusar för att köpa separata TPM-moduler de behöver inte. Vissa till och med skalper TPM 2.0-moduler på eBay!

Dold bort på Microsofts webbplats är vad som verkligen händer här. De sanna minimikraven är TPM 1.2 och en 64-bitars processor med dubbla kärnor som är 1 GHz eller mer. TPM-stöd kan aktiveras via praktiskt taget vilken modern CPU som helst i BIOS-inställningarna på en maskin. Du borde inte behöva en separat modul om inte din CPU är mycket gammal.

Microsoft marknadsför TPM 2.0 och utför kontroller av 8: e generationens eller nyare Intel-chips eftersom det här är kraven för certifierad OEM-maskinvara – maskinerna du hittar i butiker med en oundviklig Windows 11-klistermärke. Verkligheten är att Windows 11 kommer att installeras på enheter med TPM 1.2 aktiverad och praktiskt taget vilken processor som helst som uppfyller 64-bitars dual-core 1 GHz eller över standard – du behöver bara navigera i ett meddelande som säger att “uppgraderingen rekommenderas inte . ”

Microsoft nämner inte ens detta sanna TPM 1.2-minimum i sitt blogginlägg som beskriver denna nya säkerhetsinsats idag, och företaget erbjuder inte heller några detaljer om CPU-stöd som många verkar att snubbla in i. Om du har problem med PC Health App Checker för Windows 11, se till att du har “PTT” på Intel-system aktiverat i BIOS eller “PSP fTPM” på AMD-enheter. Vänta annars på att Microsoft ska förbättra den här systemkontrollen under de närmaste veckorna.

Det som Microsoft försöker uppnå här kommer att gynna Windows ekosystem under kommande år , tillsammans med sina nya ansträngningar för Xbox-liknande säkerhet på Windows. Microsoft tappade helt enkelt bollen för att förklara det för alla på dag ett.