如何在现有 PC 上获得 Win11 安全保护

安全性只是Windows 11 硬件要求的原因之一；它还与可靠性、兼容性和性能有关。但是，Windows 11将在其上运行的 CPU 中的硬件安全功能显着减少了恶意软件和勒索软件攻击。 

在关于 Windows 11的虚拟“问我任何问题”活动中，微软企业和操作系统安全合作伙伴总监 David Weston 谈到利用硬件“将安全基线提高到远高于Windows 10或任何其他以前版本的水平的窗户。”

“我们首先考虑如何防止最常见的攻击，因此供应链攻击、凭证攻击、你可能在新闻中看到的与勒索软件或其他真正有影响的问题相关的事情，”他在活动中说。UEFI 安全启动“确保机器以我所说的干净和安全的状态启动，只有来自微软、你的芯片供应商和你的设备制造商的代码。”  

他还将 Windows 11 称为“第一个真正的无密码操作系统”，因为它使用 TPM 作为生物识别技术的“安全锁箱”，可以防止攻击者在破解密码和窃取凭据时所依赖的横向移动。 

“当你用你的 PIN、你的脸或你的指纹进行身份验证时……我们正在获取这些信息，我们正在处理和检查它，如果它通过集合，安全密码箱就会释放一把钥匙，让你安全地进行身份验证。这通过阻止非常常见的攻击，这些攻击会试图窃取此信息、窃取您的凭据并使用它来访问以您的名义访问其他机器，从而提供了很大帮助。” TPM 还用于存储 BitLocker 加密密钥。

较新的 CPU 为虚拟化提供了更好的性能，因此 Windows 11 可以依靠它来确保安全。“最近几代处理器架构的进步使我们能够开启基于虚拟化的安全性，这有助于保护内核免受 WannaCry 中所见的代码注入攻击，还有助于防止针对 NTLM 等常见企业凭证的凭证攻击，参与域加入。”

Windows 11 还使用虚拟化来监控操作系统本身。“我们使用基于虚拟化的安全性……来生成我们所说的零信任操作系统，我们能够在其中观察操作系统中的变化，从安全角度来看可能有趣的变化，并将它们报告给高层。”

这些功能也适用于 Windows 10，但它们并未在绝大多数 PC 上启用。

但是，根据您在 PC 上安装 Windows 11 的方式，这些硬件安全功能可能不会自动打开。 

干净的安装和兼容性 

微软发言人表示，所有 Windows 11 PC 都将能够运行基于虚拟化的安全性。但是内存完整性（在设置中使用的更友好的术语，用于管理程序保护的代码完整性，它使用 VBS）仅在 Windows 11 附带的新 PC 上默认打开，或者如果您使用 Windows 11 重新映像 PC（两者都算作“全新安装”）。

但仅从较早版本的 Windows 升级不会自动为您启用基于硬件的安全功能。（如果您在升级前打开了内存完整性，它将保持打开状态）。

即使您重新映像您的 PC，如果您的内核驱动程序不兼容，也不会打开 HVCI 和 VBS，并且与您安装的软件、外围设备和设备驱动程序的兼容性是升级无法打开的主要原因硬件安全功能，但这不是唯一的因素，微软表示。 

“兼容性是主要问题，但开启虚拟化会影响设备的性能特征，我们希望避免用户在其设备上习惯的性能突然发生变化，而不会直接归因于他们采取的行动。”

一般来说，HVCI 和 VBS 安全功能对性能没有太大影响，但微软在升级现有 PC 时格外谨慎，以免您仅仅因为 Windows 11 体验不如 Windows 10它会打开您本可以使用但没有使用的安全功能。

事实上，您需要一台功能稍强的 PC 来自动打开硬件安全功能，而不仅仅是运行 Windows 11：微软表示，它们将在采用 Intel 第 11 代、AMD Ryzen 3000 或更高版本的新 PC 和重新映像的 PC 上默认开启，或者Qualcomm 8C 或更高版本的 CPU、64GB 或更大的 SSD（Windows 11 需要 64GB 的存储空间但不需要 SSD）和 8GB 的​​ RAM，而不是为 Windows 11 指定的 4GB。 

微软告诉我们，一些 OEM 可能会在不符合这些规格的 PC 上启用 HVCI 和 VBS，但也指出“最终用户或其组织的 IT 部门始终处于控制之中，可以根据需要打开或关闭 HVCI + VBS。”

在中国或韩国的 PC 上不会自动启用 HVCI 和 VBS；微软表示这是“出于法律和兼容性原因”。

不唠叨

如果硬件安全未打开（在 Windows 11 或 Windows 10 中），您可以从“设置”中的“Windows 安全”应用中的“设备安全”、“核心隔离”下自行启用它。但是，即使您的 PC 满足硬件要求，升级到 Windows 11 也不会提示您执行此操作或主动为您执行此操作。微软正在考虑向用户建议这一点，可能是通过新版本的 PC Health Checker 应用程序，该应用程序将在 Windows 11 发布之前再次可用，以帮助人们决定是否升级，但这并不确定。 

微软表示：“我们一直在评估如何以帮助用户做出明智选择的方式提高对我们安全功能的认识。”

计划在不重新映像的情况下将设备升级到 Windows 11 的组织将希望设置设备管理策略以打开 HVCI 和 VBS 以获得全面保护。

对于尚未准备好迁移到 Windows 11 的用户，如果您的 Windows 10 PC 中没有 2.0 版 TPM，则无需担心无法获得未来的功能版本。在虚拟 Windows 11 活动中，微软还确认 Windows 10 将不需要 TPM 2.0，即使在未来版本中也是如此。