夢晨 發自 凹非寺
量子位 報道 | 公眾號 QbitAI

Windows11公布了，我還挺激動的。

畢竟是Windows嘛，運行久了總會出問題，反正要重裝系統，不如干脆裝個新的。

可是一運行微軟給的測試工具，啊這，怎么我的電腦還裝不了新系統？

查了一下才知道，原來安裝需要支持UEFI安全啟動和TPM2.0。

UEFI安全啟動還好說，一般在BIOS里開啟Secure Boot就行了。

這個TPM2.0是啥，怎么從來沒聽說過？

其實你電腦里已經帶了

TPM指的是可信平臺模塊 (Trusted Platform Module)，一種符合安全標準的芯片，可以為硬件提供安全保護。

長這個樣子：

國外有很多人一聽到這個消息就跑到ebay上去買TPM模塊，12小時里價格抬高了4倍。

敲黑板了，TPM芯片是不需要大家單獨購買的，現在主板上一般都會集成，不過默認不會開啟。

在英特爾平臺的主板BIOS里一般叫做Platform Trust Technology或簡稱PTT，可以在BIOS的安全設置或進階設置中找到。

在AMD平臺上叫AMD fTPM，可以在BIOS的進階設置里找到。

在BIOS中開啟之后，啟動系統運行tpm.msc，如果出現這個就算成功開啟了：

主板不支持怎么辦？

那么主板不支持TPM，或只支持到老版本TPM1.2怎么辦，想裝個Windows11還得換電腦嗎？

不用擔心，神通廣大的網友分析之前泄露的安裝鏡像已經找到了解決辦法。

操作也不復雜，就是把Win10啟動U盤中的install.wim換成Win11的。

用解壓軟件打開Win11鏡像文件，找到sources文件夾：

在sources里面找到install.wim文件，就是按大小排序最大的那個。

安裝鏡像總共4.8G，install.wim就占了4.2G，里面裝的正是操作系統的核心內容。

把這個文件復制出來，粘到Win10的引導U盤里替換掉Win10的install.wim，就完成了偷梁換柱。

用Win10不需要檢查TPM的安裝程序啟動以后，實際安的是Win11。

微軟為什么強制要求TPM

其實TPM芯片已經廣泛用于商務電腦和筆記本，能夠提供硬件級別的安全防護。

在Win10的時候微軟就建議OEM廠商提供支持TPM的硬件，但不是強制的。

這次，微軟希望通過新系統Windows11把硬件級別的安全防護推廣到個人消費者。

近幾年很猖狂的勒索病毒，光靠軟件上的措施難以完全防護，TPM可以做到即使操作系統被破壞，也能阻止惡意軟件的加密嘗試。

比如指紋和人臉識別可以在芯片中運算，數據不必傳到云端，避免了從云端泄露隱私的可能。

另外TPM芯片還可以確保設備只使用原始設備制造商(OEM)信任的軟件引導。

計劃聽起來不錯，但實現起來沒那么簡單。

從歷代Windows新系統發布時的情況來看，想讓用戶升級需要漫長的時間。

2015年就正式發布的Win10，到了19年1月市場占有率才超過Win7。

而積極升級的早期用戶通常使用水平較高，完全可以使用上面的方法繞開TPM限制。

所以這個強制要求更多的是對硬件廠商而不是消費者的要求，讓新主板、新整機都支持并默認開啟TPM功能，逐漸淘汰舊的設備。

參考鏈接：
[1] https://en.wikipedia.org/wiki/Trusted_Platform_Module
[2]https://support.microsoft.com/en-us/topic/windows-hello-for-business-mitigation-plan-for-vulnerability-in-tpm-cca3460f-d53c-4f36-3af3-5a4b778af933
[3]https://allthings.how/how-to-install-windows-11-on-legacy-bios-without-secure-boot-or-tpm-2-0/
[4]https://www.windowscentral.com/tpm-windows-11-what-it-means
[5]https://www.theverge.com/2019/1/2/18164916/microsoft-windows-10-market-share-passes-windows-7-statistics

IT之家 2 月 8 日消息，微軟似乎遇到了比較棘手的難題，KB5034441 更新導致的 WinRE 問題已過去 1 個月時間，至今仍未公布有效的修復補丁。

IT之家此前報道，微軟今年 1 月面向 Windows 10 系統用戶，發布了 KB5034441 更新，重點修復了追蹤編號為 CVE-2024-20666 的漏洞，該漏洞可以繞過 BitLocker 加密，訪問加密數據。

不過想要修復該漏洞，需要足夠大容量的 Windows 恢復分區（WinRE），一旦大小不足以支持更新，用戶應該會看到“Windows 恢復環境服務失敗，（CBS_E_INSUFFICIENT_DISK_SPACE）”錯誤。

Windows 10 創建的恢復分區（通常約 500 MB）不夠大，無法支持新的 Windows RE 鏡像（winre.wim）文件，導致在嘗試安裝更新時出現 0x80070643 錯誤。

微軟固然提供了一些臨時的解決方案，但對于 Windows 10 用戶來說，第一這些方案比較繁瑣，需要一定的技術門檻；第二即便是部署了臨時解決方案，可能也無法修復這個問題。

對于大部分 Windows 10 用戶來說，最好的方法就是耐心等待微軟官方更新補丁。

微軟明確表示，用戶可以暫時忽略安裝 KB5034441 更新，尤其是用戶 Windows 10 設備沒有恢復分區的情況下。

微軟表示正在開發永久性的解決方案，并將在接下來的幾周內發布。但這個錯誤要比微軟預期的更為復雜，目前已超過 1 個月時間，仍沒有修復補丁出爐。