Windows 11 需要 TPM 和安全启动,这是否意味着我们不能再使用 Linux 等进行双启动设置?
答案1
双启动的任何设备都必须支持安全启动、UEFI 和 TPM。对于大多数双启动场景来说,这很可能是行不通的。
这里和其他地方出现的许多双启动问题都是老问题,需要非 UEFI,并且禁用安全启动,而这些在 Windows 11 上无法正常工作
目前它仍是新事物,但我预计严格的要求仍将存在。也就是说,任何不支持 Windows 11 基本要求(安全启动和 UEFI)的东西都将无法工作。这意味着许多当前要求较宽松的设置将无法在 Windows 11 中工作。
虚拟机将成为运行多台 Windows 11 机器的更可能的方式。
答案2
这可信平台管理是一个被动组件;它不会自行参与启动过程,除非操作系统(或引导加载程序)专门尝试与其交互。即使操作系统不支持 TPM,您也可以双启动它。
话虽如此,如果你想要使用 Linux 中的 TPM,即使它是由 Windows 初始化的,您仍然可以这样做。
Windows 使用一个随机的“所有者密码”来初始化 TPM2,然后它会立即丢弃该密码,这只是告诉您,您不需要它来进行正常操作。
例如,RSA“存储根密钥”以标准方式在 0x81000001 处初始化,并且可以在任何操作系统(包括 Linux)上使用。(某些工具(例如 systemd-cryptenroll)将忽略它并生成 ECDSA 根密钥。)
(如果有必要,您仍然可以说服 Windows 将所有者密码存储在注册表中,尽管显然您无法恢复被丢弃的密码,因此这需要重新初始化 TPM。)
目前唯一的限制是您无法在 Linux tpm2-tss 中使用高级 FAPI 工具,但这实际上不是一个很大的损失;无论如何,几乎所有东西都是建立在“原始”EAPI 之上的。
另一方面,安全启动功能可能会带来一些麻烦。您仍然可以使用 Fedora 或 Ubuntu 等对其提供官方支持的 Linux 发行版(它们具有 Microsoft 签名的引导加载程序)。
经过一些调整,您应该能够使用 Microsoft 签名的启动器Shim来启动几乎所有支持 UEFI 的设备。(这是一种漏洞,因为 Shim 只会提示您通过哈希值授权未知的 .efi 文件。)
x86 系统上的安全启动还允许您设置你自己签名密钥与 Microsoft 密钥一起。这可以相当虽然很复杂,但完全有可能让 Linux 内核或其他 .efi 文件通过固件的安全启动进行完全验证。
答案3
新闻文章中有很多关于安全启动要求的错误信息。要安装和运行 Windows 11,您的计算机需要具备“安全启动功能”,并且不是必须启用安全启动。“支持安全启动”实际上只是意味着系统通过 UEFI 启动,而不是通过传统 BIOS/CSM 启动。
(从技术上讲,安全启动功能已添加到 2012 年发布的 2.3.1 Errata C 中的 UEFI 规范中;我想过去 5 年内发布的几乎每个消费类主板都具有安全启动功能。)
Windows 11 也必须启用 TPM 2.0,但正如另一个答案中提到的那样,这并不会阻止其他操作系统运行,就像启用安全启动一样。
我通过在 Hyper-V VM 中安装和运行 Windows 11 来验证它不需要启用安全启动。Windows 11 可以在禁用安全启动的 Hyper-V UEFI 系统上顺利安装。
看https://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements(请注意,上面写着“UEFI,支持安全启动”),https://support.microsoft.com/en-us/topic/windows-11-and-secure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad(明确指出不需要启用安全启动)。