随着Windows 11正式发布的临近,不少主板厂商已经开始行动起来,通过BIOS更新加入fTPM支持,并将其设置为默认开启。这样一来用户在升级或全新安装Windows 11的时候就更加方便。fTPM是由固件实现的TPM可信平台模块,用于增强系统安全性。
据wccftech报道,微星为首批7款B450/B550主板提供的最新BIOS更新中默认启用了fTPM并禁用CSM以满足Windows 11的安装要求。此外,新版BIOS中还包括了最新的AGESA ComboV2 1.2.0.4更新,同时为Vermeer、Cezanne和Picasso处理器更新了SMU固件。不过这些测试版BIOS文件尚未通过官网正式发布,目前仅在非正式渠道分发。
新BIOS默认开启fTPM,在方便之余,我们也需要了解一些免费fTPM和独立TPM模块的差异。fTPM是AMD处理器内置的TPM2.0功能,为什么CPU内置了TPM功能的同时,主板上依然还为独立TPM模块保留了安装插槽呢?
fTPM集成在AMD AGESA代码中,用于凭证的存储的密钥管理。一旦启用了fTPM,并在Windows中开启了Bitlocker加密,固件TPM密钥就会存储在AMD AGESA代码的数据区域中。
使用基于固件的fTPM可以免费获得TPM2.0功能,但由于密钥是存储在AGESA内而不是独立的TPM模块内,如果你更换了CPU,或者升级了BIOS程序,主板默认会自动执行fTPM初始化。
如果你忘记在更换CPU或升级BIOS前先关闭Bitlocker硬盘加密,并且同时忘记了Bitlocker的恢复密钥,那么就悲剧了:Windows将无法启动,并且已经加密的数据也无法再被解锁。
在BIOS设置中将Erase fTPM NV for factory reset设置改为Disabled可以避免悲剧,更换CPU或升级BIOS后fTPM会暂时被关闭,你可以切换回老CPU进行密钥和数据的恢复。
除了TPM2.0之外,Windows 11还强制要求使用UEFI安全启动。对于防止恶意软件和提升系统安全性来说这些都是有效的手段,不过也会给用户带来一些意外的麻烦:如果不知道如何关闭Secure Boot安全启动,各种PE工具箱,以及依赖PE环境的一些系统迁移软件可能会无法正常工作。
|