史上最安全的系統(tǒng)？Win11安全啟動(dòng)探秘

大家知道，為了提高系統(tǒng)的安全性，Windows 11把TPM2.0、安全啟動(dòng)和UEFI模式列為運(yùn)行它的強(qiáng)制選項(xiàng)。那么這些組件有什么作用，它們又是怎樣保護(hù)Windows 11的安全的呢？

認(rèn)識(shí)安全啟動(dòng)

一些朋友在嘗試更新到Windows 11的時(shí)候，安裝程序會(huì)提示“該電腦必須支持TPM2.0和安全啟動(dòng)”，因?yàn)殡娔X沒有開啟這些安全選項(xiàng)，從而導(dǎo)致無(wú)法成功安裝Windows 11（圖1）。

那么什么是安全啟動(dòng)？我們先了解一下Windows的啟動(dòng)過(guò)程，對(duì)于傳統(tǒng)的BIOS啟動(dòng)方式，當(dāng)用戶按下主機(jī)電源鍵后BIOS開始自檢，并加載相應(yīng)的主引導(dǎo)記錄和引導(dǎo)文件開始啟動(dòng)系統(tǒng)，具體流程如圖2所示。

這種傳統(tǒng)的啟動(dòng)方式有個(gè)弊端，那就是在加載引導(dǎo)文件的時(shí)候沒有進(jìn)行相應(yīng)的安全檢測(cè)，這樣一些引導(dǎo)型的病毒一旦在BIOS自檢后開始加載，由于它們比系統(tǒng)中的殺毒軟件優(yōu)先啟動(dòng)，這就導(dǎo)致進(jìn)入系統(tǒng)后無(wú)法對(duì)它們進(jìn)行查殺。Windows 11強(qiáng)制要求的安全啟動(dòng)，在加載UEFI固件后對(duì)于任何要加載的模塊都要進(jìn)行簽名驗(yàn)證，確保啟動(dòng)的是可信的安全模塊，它的啟動(dòng)流程如圖3所示。

那么UEFI是怎樣實(shí)現(xiàn)安全啟動(dòng)的呢？根據(jù)UEFI安全規(guī)范，主板出廠的時(shí)候，可以內(nèi)置一些可靠的公鑰。然后任何想要在這塊主板上加載的操作系統(tǒng)或者硬件驅(qū)動(dòng)程序，都必須通過(guò)這些公鑰的認(rèn)證。也就是說(shuō)，這些軟硬件必須用對(duì)應(yīng)的私鑰簽署過(guò)，否則主板拒絕加載。由于惡意軟件不可能通過(guò)認(rèn)證，因此就沒有辦法感染電腦的啟動(dòng)過(guò)程。

根據(jù)微軟的規(guī)定，所有預(yù)裝Windows 11操作系統(tǒng)的廠商（即OEM廠商）都必須打開安全啟動(dòng)（Secure Boot），經(jīng)過(guò)認(rèn)證的Windows 11公鑰固化在主板上，這樣可以有效地避免惡意軟件啟動(dòng)Windows 11。所以如果沒有在主板上開啟安全啟動(dòng)功能，Windows 11就會(huì)拒絕安裝，從而導(dǎo)致如圖1所示的問(wèn)題。

如何開啟安全啟動(dòng)功能

那么如果在安裝Windows 11時(shí)遇到如圖1所示的問(wèn)題該怎么解決？因?yàn)閃indows 11將把TPM2.0、安全啟動(dòng)和UEFI模式作為強(qiáng)制安全選項(xiàng)，所以解決方法是在主板BIOS中開啟上述三個(gè)選項(xiàng)。

1.開啟安全啟動(dòng)

安全啟動(dòng)開啟選項(xiàng)在主板BIOS設(shè)置中，用戶只要按照主板說(shuō)明進(jìn)行開啟即可。以華碩主板操作為例，開機(jī)后按DEL鍵進(jìn)入BIOS設(shè)置界面，接著切換到“BOOT”菜單，在下方找到“Secure Boot state”，將其選項(xiàng)設(shè)置為“Enable”（開啟），最后按F10鍵保存退出。

2.開啟UEFI啟動(dòng)

因?yàn)榘踩珕?dòng)需要UEFI模式的支持，所以還需要在BIOS中將電腦的引導(dǎo)模式設(shè)置為UEFI，同上進(jìn)入BOOT菜單，定位到OSType模式，在右側(cè)菜單下拉列表中選擇“WindowsUEFIMode”，按F10鍵保存退出（圖4）。

3.開啟TPM2.0支持

先確認(rèn)自己的主板有TPM模塊（近5年新裝的電腦一般都有該模塊），以微星主板AMD平臺(tái)開啟TPM功能操作為例，按DEL鍵進(jìn)入BIOS后，按F7進(jìn)入高級(jí)模式，依次選擇“Settings→Secunty→Trusted Computing”，將AMD TPM Switch選項(xiàng)設(shè)置為“AMD CPU TPM”，按F10鍵保存退出（圖5）。

這樣電腦完成上述的設(shè)置后，再使用Windows 11安裝盤啟動(dòng)系統(tǒng)進(jìn)行安裝，就可以順利地完成安裝了。

繞過(guò)安全啟動(dòng)驗(yàn)證安裝Win11

如上所述，如果你要安裝Windows 11原版ISO操作系統(tǒng)，用常規(guī)方式使用ISO文件啟動(dòng)安裝后，安裝程序會(huì)在安裝過(guò)程中檢測(cè)TPM2.0、安全啟動(dòng)功能的開啟狀況，若電腦未開啟上述選項(xiàng)，則會(huì)出現(xiàn)如圖1所示的提示。如果要在未開啟上述選項(xiàng)的電腦上安裝Windows 11，那么可以使用手動(dòng)安裝的方法來(lái)安裝Windows 11。這里以Windows 10中的操作為例。

先到https：//www.cr173.com/soft/44758.html下載WinNTSetup，接著打開資源管理器，然后將準(zhǔn)備好的Windows 11安裝文件（ISO格式）加載到虛擬光驅(qū)。啟動(dòng)WinNTSetup后，在選擇Windows安裝文件的位置，選擇上述加載到虛擬光驅(qū)中的“＼sources＼install.esd”文件。再選擇引導(dǎo)驅(qū)動(dòng)器的位置，選擇本地C盤，這樣Windows 11的引導(dǎo)信息會(huì)添加到BCD配置文件中。

在選擇安裝驅(qū)動(dòng)器的位置選擇D：，請(qǐng)預(yù)先準(zhǔn)備好安裝Windows 11的空閑分區(qū)。在相應(yīng)的選項(xiàng)下，選擇“install.esd”鏡像文件中Windows 11的版本，這里選擇PRO版。其他參數(shù)保持默認(rèn)，最后點(diǎn)擊“安裝”（圖6）。

這樣用戶使用手動(dòng)的方式將Windows 11系統(tǒng)文件解壓到了D：＼，從而繞過(guò)了Windows 11安裝程序?qū)Ρ緳C(jī)的檢測(cè)。重啟電腦后，按提示選擇新增的Windows 11菜單進(jìn)入，按屏幕的提示完成Windows 11的安裝即可。

完后Windows 11的安裝后進(jìn)入系統(tǒng)，點(diǎn)擊“開始→運(yùn)行”，輸入“msinfo32”，回車后打開系統(tǒng)信息窗口，在右側(cè)窗口查看BIOS模式參數(shù)為“傳統(tǒng)”（如果是UEFI安全啟動(dòng)顯示的則為“UEFI”），即用戶安裝的Windows 11使用的是傳統(tǒng)BIOS啟動(dòng)，沒有使用安全啟動(dòng)（圖7）。

繼續(xù)在運(yùn)行對(duì)話框中輸入tpm.msc，在彈出的對(duì)話框中“狀態(tài)”可以看到，目前Windows 11也沒有啟用TPM，至此用戶也能順利地在普通電腦上成功安裝Windows 11系統(tǒng)。

小結(jié)

按需選擇體驗(yàn)Win11

Windows 11默認(rèn)把TPM2.0、安全啟動(dòng)和UEFI模式列為運(yùn)行它的強(qiáng)制選項(xiàng)，這樣可以更好地保護(hù)系統(tǒng)的安全，如果你的硬件支持，強(qiáng)烈建議啟用上述安全選項(xiàng)來(lái)體驗(yàn)Windows 11。當(dāng)然對(duì)于舊電腦，通過(guò)手動(dòng)方式也可以繞過(guò)安裝Windows 11的限制。對(duì)于希望第一時(shí)間嘗鮮Windows 11的用戶，不妨按照自己電腦的實(shí)際情況自主選擇安裝方式。