Windows 11 现在已成为热门话题。正如很多媒体解读的那样,就将陷入了无法登录的死循环。明明输入的开机密码是对的,微软一开始并没有很肯定的说要求硬件在Intel8代酷睿或更高版本的要求,但就是一直提示“无法验证您的密码”,而AMD在Ryzen 2000系列或更高版本的要求,进不了系统。更严重的情况是笔记本将反复重启。一台好好的笔记本怎么突然就“变砖”了呢?原来都是Chrome OS一次悄悄自动更新惹的祸。由于ChromeOS是开源的,如果是这样的话,一位Reddit网友仔细检查系统更新的代码,消费者真的有点吃不消了。
或许微软已经察觉到了用户的焦虑,发现其中的低级错误令人哭笑不得。少一个“&”惹的祸这位网友仔细对比两份代码后发现,随着 Windows 11 Insider Preview 的发布,这个“惊天bug”背后竟然只是谷歌程序员少输了一个字符“&”。原本正确的代码应该是:if (keydata.hasvalue() && !key_data->label().empty())而这位程序员却把这句if语句写成了if (keydata.hasvalue() & !key_data->label().empty())“&&”和“&”两个运算符虽然看起来只差一点点,它放宽了这个稍微严格的 CPU 要求。具体来说,但二者作用真是天壤之别。前者是对两个变量求“与”(AND),它将标准放宽到第七代酷睿和第一代锐龙,而后者是对这两个值按位求与。这样就导致了条件语句两边变量每一位都会被求与,它们分别是英特尔和AMD之前的一代CPU。其他条件,即使has_value()为真,例如 TPM 和安全启动,返回结果也不一定就是真。而这串代码是Chrome OS中保存用户加密密钥的分,将继续适用。
对于 Insider Preview,CPU 和 TPM 要求适用于作为 Dev 和 Beta 渠道并且在 6 月 24 日之前至少在 Windows Insider 注册过一次的 Microsoft 和公司/学校帐户。
这种放宽仅在 Insider Preview 期间进行,预计在 Release Preview 和 GA 之后,将应用微软目前在网站上发布的标准。
自 6 月 24 日发布消息以来,微软这家巨头公司在几天内采取这些措施是非常迅速的,而且它的反应速度和响应速度比微软预期的要快,看来他做到了。
CPU 要求很严格,因为需要最新的 CPU 来增强安全性,例如 VBS / HVCI。
在发布 Insider Preview 的同时,微软宣布将放宽零售版的标准,但同时在其博客中解释了为什么需要这些稍微严格一些的硬件要求。
据此,Windows 11 收紧硬件要求有三个原因。
(1) 由于增强的安全性,启用 VBS / HVCI 需要新硬件
(2) 操作系统稳定需要支持Windows Driver Model
(3) 维护应用兼容性
关于(2)和(3),据说是稳定和向下兼容所必需的,任何一代OS版本升级都是绝对需要的。事实上,它与硬件没有什么关系。这里重要的两件事是 (1) VBS 和 HVCI。
VBS 是 Virtualization-Based Security 的缩写,是“基于虚拟化的安全性”,是一种通过使用 Windows 中作为标准安装的 Hyper-V 来增强安全性的机制。
虚拟化技术包括作为应用程序运行在操作系统之上的虚拟化软件(有时称为 Type2 管理程序,例如 Windows 中的 Virtual PC 或 VMware Player),所有操作系统都运行在其上。管理程序有两种类型(称为裸机管理程序)管理程序等)。
Hyper-V 是后者,更高级的虚拟化软件,它是 Windows 10/11 的标准配置。
VBS 使用这个 Hyper-V 并分别为 VSM(虚拟安全模块)执行,它是操作系统中更重要的分,也是一个普通的 Windows 操作系统。
然后,在启动 VSM 时,使用 HVCI(Hypervisor-Enforced Code Integrity),这是一种检查驱动程序和操作系统代码是否正确签名以及是否安全的机制。通过使用它,您可以安全地启动重要的操作系统的一分。
两个虚拟机运行在不同的内存空间,即使恶意软件进入正常的 Windows 操作系统,入侵受 VSM 保护的内核也将更加困难。换句话说,这是安全性的重改进。在上面提到的博客中,微软解释说启用 VBS 和 HVCI 可以消除多达 60% 的恶意软件攻击。
VBS 和 HVCI 未包含在 Windows 10 的初始版本中,但现在在中期版本中受支持。默认情况下,它在 Windows 10 中仍未启用,并且仅在用户明确打开它时才有效。
但是,根据 OEM 制造商的选择,可以在发货前启用此功能。事实上,微软在 Surface Laptop 3/4、Surface Pro 7+、Surface Pro X 等设备上启用了 Surface 系列。
如果下面描述的硬件满足要求并且所有设备驱动程序等都支持 HVCI,则可以在 Windows 10 上启用 VBS。具体来说,您可以通过在 Windows 安全中选择“设备安全-核心隔离详细信息”来打开“内存一致性”来启用 VBS 和 HVCI。
7代Core或更高版本,Zen 2架构或更高版本的CPU才能实际使用HVCI
在 Windows 11 中,默认情况下将启用 VBS 和 HVCI。如前所述,与未启用 VBS 或 HVCI 的 Windows 10 相比,它提高了安全性并增强了对恶意软件等的防护。
但是,权衡是硬件要求会更严格才能启用 VBS 和 HVCI。
为了支持这些功能,至少需要Intel的VT、AMD的AMD-V等虚拟化加速功能,以及VT、AMD-V的扩展指令SLAT(Second Level Address Translation)等必须支持.
此外,还需要VT-d和AMD-Vi等I/O虚拟化,TPM 2.0支持(单/CPU内置),UEFI内存报告支持,以及兼容HVCI的设备驱动。(参见微软网站,Virtualization-Based安全 (VBS),了解更多信息)。这个VBS也需要现在很热门的TPM 2.0。
此外,为了支持HVCI,鼓励支持称为MBEC(基于模式的执行控制)的虚拟化技术的扩展指令。
具体来说,当管理程序检查代码的健康状况时,如果 CPU 支持此 MBEC,则可以更快地完成。Intel称之为“MBEC”(EPT的基于模式的执行控制),AMD称之为“GMET”(Guest Mode Execute Trap),Qualcomm称之为Arm的“TTS2UXN”(Translation table stage 2 Unprivileged Execute-never)..
如果 CPU 支持这些,即使启用 HVCI 也几乎没有性能下降,但如果不启用,CPU 负载可能会增加,性能可能会下降。
第7代酷睿(Kaby Lake)或更高版本在Intel CPU中兼容MBEC,而在AMD CPU方面则是Zen 2架构或更高版本的CPU。
这些可能就是 Windows 11 有严格要求的原因。正如微软所说,启用 VBS/HVCI 当然需要新一代的 CPU。
微软的艰难抉择,是提高安全性还是考虑用户“升级”的声音
从这个角度来看,我们可以看到微软画的线是有充分根据的。
而且由于支持HVCI所需的MBEC的CPU是第7代Core或更高版本,因此将支持它的CPU扩展到那个程度是合乎逻辑的。
但是,AMD 方面对 GMET 的 AMD-V 支持将是 Zen 2 代或更高版本,因此扩展到第一个 Zen 将不在此列。当然,如果在 Zen 架构的 CPU 上启用 HVCI,性能会有所下降。
对于用户来说,支持VBS和HVCI在提高PC的安全性方面有很的优势。
当然,硬件不兼容的用户是不满意的。由于增强的安全功能和性能下降,微软将在多程度上响应用户使用 Windows 11 的愿望,这将继续是一个艰难的时期,直到 Windows 11 发布。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
