Abdelhakim AKODADI Asked: 2021-07-24 09:53:05 +0800 CST2021-07-24 09:53:05 +0800 CST 2021-07-24 09:53:05 +0800 CST Windows 11 TPM 双启动 772 Windows 11 需要 TPM 和安全启动这一事实是否意味着我们不能再使用例如 Linux 的双启动设置? windows multi-boot 3 个回答 Voted user1686 2021-07-24T10:21:45+08:002021-07-24T10:21:45+08:00 TPM是无源组件;它不会自行参与引导过程,除非操作系统(或引导加载程序)专门尝试与之交互。即使操作系统不支持 TPM,您也可以双启动操作系统。 也就是说,如果你想使用 Linux 中的 TPM,即使它是由 Windows 初始化的,你仍然可以这样做。 Windows 使用它丢弃的随机“所有者密码”初始化 TPM2……但它立即丢弃密码的事实只是告诉您您不需要它来进行正常操作。 例如,RSA“存储根密钥”以标准方式在 0x81000001 处初始化,可用于任何操作系统,包括 Linux。(一些工具,例如 systemd-cryptenroll,会忽略它并生成一个 ECDSA 根密钥。) (如有必要,您仍然可以说服 Windows 将所有者密码存储在注册表中,尽管显然您无法恢复被丢弃的密码,因此这需要重新初始化 TPM。) 目前唯一的限制是不能使用Linux tpm2-tss 中的高级FAPI 工具,但这确实不是什么大损失;无论如何,几乎所有东西都建立在“原始”EAPI 之上。 另一方面,安全启动功能可能会引起一些麻烦。你应该仍然可以使用官方支持的 Linux 发行版,如 Fedora 或 Ubuntu(它们有 Microsoft 签名的引导加载程序)。 通过一些修补,您应该能够使用 Microsoft 签名Shim来启动几乎任何支持 UEFI 的东西。(这是一个漏洞,因为 Shim 只是提示您通过它们的哈希授权未知的 .efi 文件。) x86 系统上的安全启动还允许您在 Microsoft 密钥旁边设置自己的签名密钥。这可能会变得相当复杂,但完全有可能让 Linux 内核或另一个 .efi 文件通过固件的安全启动来完全验证。 aggieNick02 2021-10-08T07:34:24+08:002021-10-08T07:34:24+08:00 新闻文章中有很多关于安全启动要求的错误信息。要安装和运行 Windows 11,您的计算机必须具有“安全启动功能”,并且不必启用安全启动。具有“安全启动能力”实际上只是意味着系统通过 UEFI 启动,而不是传统 BIOS/CSM。 (技术上安全启动是在 2012 年发布的 2.3.1 Errata C 中添加到 UEFI 规范中的;我想过去 5 年多发布的几乎所有消费者主板都支持安全启动。) 还必须为 Windows 11 启用 TPM 2.0,但正如另一个答案中提到的,这不会阻止其他操作系统像启用安全启动一样运行。 我验证了 Windows 11 不需要通过在 Hyper-V VM 中安装和运行来启用安全启动。Windows 11 在禁用安全启动的 Hyper-V UEFI 系统上安装愉快。 请参阅https://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements(注意它说“UEFI,支持安全启动”)和https://support.microsoft.com/ en-us/topic/windows-11-and-secure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad(明确说明不需要启用安全启动)。 Best Answer John 2021-07-24T10:00:28+08:002021-07-24T10:00:28+08:00 任何双启动都必须支持安全启动、UEFI 和 TPM。对于大多数双启动方案来说,它很可能不是启动器。 此处和其他地方出现的许多双启动问题都较旧并且需要非 UEFI,并且禁用了不适用于 Windows 11 的安全启动 在这一点上它仍然是新的,但我预计严格的要求将仍然存在。也就是说,任何不支持 Windows 11 基本要求(安全启动和 UEFI)的东西都将不起作用。这意味着当前许多要求较宽松的设置将无法在 Windows 11 中运行。 虚拟机将更有可能在 Windows 11 中运行多台机器。
TPM是无源组件;它不会自行参与引导过程,除非操作系统(或引导加载程序)专门尝试与之交互。即使操作系统不支持 TPM,您也可以双启动操作系统。
也就是说,如果你想使用 Linux 中的 TPM,即使它是由 Windows 初始化的,你仍然可以这样做。
Windows 使用它丢弃的随机“所有者密码”初始化 TPM2……但它立即丢弃密码的事实只是告诉您您不需要它来进行正常操作。
例如,RSA“存储根密钥”以标准方式在 0x81000001 处初始化,可用于任何操作系统,包括 Linux。(一些工具,例如 systemd-cryptenroll,会忽略它并生成一个 ECDSA 根密钥。)
(如有必要,您仍然可以说服 Windows 将所有者密码存储在注册表中,尽管显然您无法恢复被丢弃的密码,因此这需要重新初始化 TPM。)
目前唯一的限制是不能使用Linux tpm2-tss 中的高级FAPI 工具,但这确实不是什么大损失;无论如何,几乎所有东西都建立在“原始”EAPI 之上。
另一方面,安全启动功能可能会引起一些麻烦。你应该仍然可以使用官方支持的 Linux 发行版,如 Fedora 或 Ubuntu(它们有 Microsoft 签名的引导加载程序)。
通过一些修补,您应该能够使用 Microsoft 签名
Shim来启动几乎任何支持 UEFI 的东西。(这是一个漏洞,因为 Shim 只是提示您通过它们的哈希授权未知的 .efi 文件。)x86 系统上的安全启动还允许您在 Microsoft 密钥旁边设置自己的签名密钥。这可能会变得相当复杂,但完全有可能让 Linux 内核或另一个 .efi 文件通过固件的安全启动来完全验证。
新闻文章中有很多关于安全启动要求的错误信息。要安装和运行 Windows 11,您的计算机必须具有“安全启动功能”,并且不必启用安全启动。具有“安全启动能力”实际上只是意味着系统通过 UEFI 启动,而不是传统 BIOS/CSM。
(技术上安全启动是在 2012 年发布的 2.3.1 Errata C 中添加到 UEFI 规范中的;我想过去 5 年多发布的几乎所有消费者主板都支持安全启动。)
还必须为 Windows 11 启用 TPM 2.0,但正如另一个答案中提到的,这不会阻止其他操作系统像启用安全启动一样运行。
我验证了 Windows 11 不需要通过在 Hyper-V VM 中安装和运行来启用安全启动。Windows 11 在禁用安全启动的 Hyper-V UEFI 系统上安装愉快。
请参阅https://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements(注意它说“UEFI,支持安全启动”)和https://support.microsoft.com/ en-us/topic/windows-11-and-secure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad(明确说明不需要启用安全启动)。
任何双启动都必须支持安全启动、UEFI 和 TPM。对于大多数双启动方案来说,它很可能不是启动器。
此处和其他地方出现的许多双启动问题都较旧并且需要非 UEFI,并且禁用了不适用于 Windows 11 的安全启动
在这一点上它仍然是新的,但我预计严格的要求将仍然存在。也就是说,任何不支持 Windows 11 基本要求(安全启动和 UEFI)的东西都将不起作用。这意味着当前许多要求较宽松的设置将无法在 Windows 11 中运行。
虚拟机将更有可能在 Windows 11 中运行多台机器。