Varför Microsoft inte viker sig på Windows 11 TPM-krav

Microsoft har uppdaterat sina minimisystemkrav för Windows 11, vilket inte gör någon skillnad för de allra flesta människor. Kraven är mindre strikta nu, rent tekniskt, men inte i närheten av den nivå jag hoppats på eller förväntat mig. Det inkluderar TPM-kravet, som Microsoft håller fast vid.

När Microsoft meddelade Windows 11, PC-entusiaster tvingades bli cybersäkerhetsexperter för att försöka ta reda på vad en TPM är och varför det är viktigt. Microsoft erbjuder en lösning på det problemet för personer med nyare hårdvara. Ändå har det inte åtgärdat huvudproblemet med TPM och Windows 11. Här är varför.

Entusiastens dilemmat

Låt oss få lite hushållning ur vägen först. Huvudproblemet med TPM är att många DIY moderkort kom inte med ett chip ombord. Microsoft har krävt att PC-tillverkare ska inkludera en TPM i flera år, så den här konversationen gäller inte riktigt förbyggda maskiner eller bärbara datorer från de senaste åren. Det är fokuserat på PC-byggare som har senaste hårdvara, men inte ett dedikerat TPM-chip.

Du behöver inte ett dedikerat TPM-chip för Windows 11, men Microsoft gjorde ett dåligt jobb med att förklara det. Microsofts sa gamla PC Health Check-appen min spel PC med en 10:e generationens Core i9 kunde inte köras Windows 11. Det kunde det, men Microsoft förklarade inte att jag skulle behöva aktivera TPM via firmware.

Naturligtvis följde en mediafrenesi när PC-byggare fick höra att de inte kunde köra Windows 11. Senaste moderkort stöder TPM genom firmware, vilket är mindre säkert än en hårdvarulösning, men ändå tillräckligt för att köras Windows 11. Nu tar Microsoft upp problemet med en uppdaterad PC Heath Check-app.

Det kommer nu att berätta för användarna vilken komponent som inte är kompatibel med Windows 11 och länk till en supportartikel, inklusive artiklar om att aktivera fast programvara TPM. Microsoft står fast vid detta krav, som har funnits för PC-tillverkare i några år. Det finns en bra anledning till varför, men det löser inte problemet med TPM som presenterades i första hand.

TPM eller ingen TPM

En TPM är enkel. Det är ett litet chip som lagrar nycklar för att dekryptera data och annan autentiseringsinformation. TPM är anmärkningsvärt eftersom det är placerat borta från CPU och andra komponenter. Till och med under en katastrofal händelse när din dator äventyras, kommer ingen att kunna ta sig in i TPM. Det är ett valv för säker data, som Jorge Myszne, medgrundare och VD för Kameleon Security, kallar det.

Tillämpningarna av en TPM för de flesta är Windows Hello och Bitlocker, som inte är absolut nödvändiga. Ett starkt lösenord fungerar fortfarande i stället för biometrisk autentisering för Windows Hello, och Bitlocker är bara nödvändigt om du vill kryptera din hårddisk - och många människor gör det inte. De erbjuder ökad säkerhet, förutsatt att du använder dem.

Säker start är en annan sak. Kort sagt, Secure Boot är knuten till firmware lagrad på ditt moderkort, och kontrollerar allt som körs innan operativsystemet laddas. För att säkerställa att det inte finns några obehöriga program som körs, får den djup åtkomst till programvaran som körs på din PC. Det kräver ingen TPM.

Windows ger applikationer tillgång till TPM, vilket gör det mycket mer praktiskt. Enligt Myszne drar dock de flesta utvecklare inte nytta av det eftersom att bråka med TPM har chansen att bygga komponenter. "Allt som har att göra med VPN eller lagring, du vet, alla lösenordshanterare, alla dessa saker. Det är exakt applikationen [som] borde använda TPM, men de använder den inte, eller hur? Bara för att de inte vill ta itu med det."

Istället lagrar leverantörer saker som certifikat och autentiseringsnycklar i programvara, där det är mer sårbart. Det betyder dock inte att all programvara går förbi TPM. Outlook och Thunderbird använder till exempel TPM för att hantera krypterad e-post. Ändå väljer många program att använda programvara istället, vilket gör TPM meningslös för dem.

Jag vill inte skräda orden: Att ha TPM är bättre än att inte ha det - det är bara en fråga om hur mycket säkerhet du behöver. När du väl går från en dedikerad TPM-modul till programvaran TPM, ger du redan upp viss säkerhet. Windows 11 fungerar med båda, men det löser inte problemet för personer som antingen har en äldre version av TPM eller inte alls.

TPM-problemet

Det finns en anledning till att gör-det-själv-moderkort inte kommer med firmware TPM aktiverat: det är inte lika säkert. Firmware TPM använder CPU istället för en separat, mindre processor på moderkortet. Som den Spectre och Meltdown sårbarheter visa, processorn är inte immun mot säkerhetskomprometteringar, vilket ifrågasätter varför firmware TPM fungerar med Windows 11.

Om både hårdvara och mindre säkra firmware TPM fungerar med Windows 11, varför har kravet överhuvudtaget? Microsoft vill ha ökad säkerhet, vilket är något jag kan stå bakom, men det är inte meningsfullt att blanda sig i en medelväg. Att bara gå på hårdvara skulle alienera några av Microsofts kunder, men det hårda kravet på TPM gör redan det.

Du behöver en senaste moderkortet för att använda TPM version Microsoft kräver. De flesta moderkort som tillverkats efter 2016 faller i den kategorin. Alla moderkortsleverantörer är dock lite olika, så vissa började stödja TPM 2.0 strax efter att det släpptes 2014 medan andra väntade till senare. Tyvärr väntade de flesta moderkortstillverkare.

Det betyder att om du byggde din PC mellan 2014 och 2016, svaret på om din PC stöder Windows 11 är ett deprimerande "kanske". Om du byggde din dator före 2014 är det ett svårt "nej". Istället har Microsoft berättat för användarna med äldre hårdvara för att bara fortsätta använda Windows 10, vilket är ett operativsystem som nästan säkert kommer att spela andra fiol till Windows 11 när den väl startar.

Tyvärr har samtalet kring TPM och Windows 11 är i stort sett irrelevant. Microsoft uppdaterade sin lista över processorer som stöds, men misslyckades med att lägga till stöd för många av de processorer som kunderna efterfrågade. Det inkluderar första generationens Ryzen-processorer, som släpptes 2017. Om du har en PC som du byggde före 2016, finns det en anständig chans att den inte stöder Windows 11 — TPM eller inte.

Den goda nyheten är att Microsoft erbjuder en lösning. Om du inte har en CPU som stöds kan du fortfarande ladda ner Windows 11 ISO och installera operativsystemet. Att gå den här vägen kommer att försätta OS i ett tillstånd som inte stöds, så det kan bli föremål för fler buggar och krascher. För ISO, allt du behöver är en 1GHz dual-core processor, 4 GB Bagge, och 64 GB lagringsutrymme.

Microsofts fasta hållning till TPM skickar ett meddelande. Det är att Windows rör sig i en riktning av förbättrad säkerhet, men på bekostnad av "ta med-din-egen-hårdvara"-mentalitet som operativsystemet länge har haft. Håller på Windows 10 eller använder Windows 11 i ett tillstånd som inte stöds är bra lösningar för nu, men de kommer att köra sin kurs innan Microsoft avslutar stödet för Windows 10 2025.

Redaktörens rekommendationer

• Rangordnar alla 12 versioner av Windows, från sämsta till bästa
• Windows 11 är på väg att göra RGB-kringutrustning mycket enklare att använda
• Den nya appen för säkerhetskopiering av Windows 11 tar en annan signal från Mac
• Windows Copilot sätter Bing Chat i alla Windows 11-datorer
• Windows 11 har precis fått en av de främsta anledningarna till att köpa en Mac