Bedeutet die Tatsache, dass Windows 11 TPM und Secure Boot erfordert, dass wir beispielsweise mit Linux kein Dual-Boot-Setup mehr durchführen können?
Antwort1
Alles, was Sie mit Dual-Boot verwenden, muss Secure Boot, UEFI und TPM unterstützen. Für die meisten Dual-Boot-Szenarien ist dies höchstwahrscheinlich nicht möglich.
Viele der Dual-Boot-Fragen, die hier und anderswo auftauchen, sind älter und erfordern Nicht-UEFI und deaktivierten Secure Boot, was mit Windows 11 nicht funktionieren wird.
Es ist zu diesem Zeitpunkt noch neu, aber ich gehe davon aus, dass die strengen Anforderungen bestehen bleiben werden. Das heißt, alles, was die grundlegenden Anforderungen von Windows 11 (Secure Boot und UEFI) nicht unterstützt, wird nicht funktionieren. Das bedeutet, dass eine Reihe aktueller Setups mit lockereren Anforderungen unter Windows 11 nicht funktionieren werden.
Virtuelle Maschinen werden eine viel wahrscheinlichere Möglichkeit sein, mehrere Maschinen mit Windows 11 auszuführen.
Antwort2
DerTPMist eine passive Komponente; sie nimmt nicht selbst am Startvorgang teil, es sei denn, ein Betriebssystem (oder ein Bootloader) versucht ausdrücklich, mit ihr zu interagieren. Sie können ein Betriebssystem dual booten, auch wenn es keine Unterstützung für das TPM bietet.
Das heißt, wenn Siewollenum das TPM von Linux zu verwenden, können Sie dies auch dann tun, wenn es von Windows initialisiert wurde.
Windows initialisiert TPM2 mit einem zufälligen „Besitzerkennwort“, das es verwirft. Die Tatsache, dass das Kennwort sofort verworfen wird, zeigt jedoch lediglich, dass Sie es für den normalen Betrieb nicht benötigen.
Beispielsweise wird der RSA-Storage-Root-Key standardmäßig mit 0x81000001 initialisiert und kann von jedem Betriebssystem, einschließlich Linux, verwendet werden. (Einige Tools, wie etwa systemd-cryptenroll, ignorieren ihn einfach und generieren stattdessen einen ECDSA-Root-Key.)
(Falls notwendig, können Sie Windows immer noch dazu bringen, das Besitzerkennwort in der Registrierung zu speichern. Allerdings können Sie das gelöschte Kennwort natürlich nicht wiederherstellen, sodass hierzu eine Neuinitialisierung des TPM erforderlich ist.)
Derzeit besteht die einzige Einschränkung darin, dass Sie die FAPI-High-Level-Tools in Linux tpm2-tss nicht verwenden können, aber das ist wirklich kein großer Verlust, da fast alles ohnehin auf der „rohen“ EAPI basiert.
Auf der anderen SeiteSicherer StartvorgangFunktion kann einige Probleme verursachen. Sie sollten weiterhin Linux-Distributionen wie Fedora oder Ubuntu verwenden können, die offizielle Unterstützung dafür haben (sie haben von Microsoft signierte Bootloader).
Mit etwas Herumprobieren sollten Sie in der Lage sein, mit der von Microsoft signierten Datei Shimpraktisch alles zu booten, was UEFI unterstützt. (Das ist eine Art Schlupfloch, da Shim Sie lediglich auffordert, unbekannte .efi-Dateien anhand ihres Hashs zu autorisieren.)
Secure Boot auf x86-Systemen ermöglicht Ihnen außerdem die Einrichtungdein eigenesSignaturschlüssel neben den Microsoft-Schlüsseln. Dies kannganzkompliziert, aber dennoch durchaus möglich, dass ein Linux-Kernel oder eine andere .efi-Datei durch den Secure Boot Ihrer Firmware vollständig validiert wird.
Antwort3
In Presseartikeln gab es viele Fehlinformationen über die Secure Boot-Anforderung. Um Windows 11 installieren und ausführen zu können, muss Ihr Computer „Secure Boot-fähig“ sein undnichtSecure Boot muss aktiviert sein. „Secure Boot-fähig“ bedeutet eigentlich nur, dass das System über UEFI bootet, nicht über das Legacy-BIOS/CSM.
(Technisch gesehen wurde Secure Boot der UEFI-Spezifikation in 2.3.1 Errata C aus dem Jahr 2012 hinzugefügt; ich kann mir vorstellen, dass fast jedes in den letzten 5+ Jahren auf den Markt gekommene Consumer-Motherboard Secure Boot-fähig ist.)
TPM 2.0 muss auch für Windows 11 aktiviert sein, aber wie in einer anderen Antwort erwähnt, verhindert dies nicht die Ausführung anderer Betriebssysteme, wie es bei aktiviertem Secure Boot der Fall sein kann.
Ich habe überprüft, dass für Windows 11 kein Secure Boot aktiviert werden muss, indem ich es in einer Hyper-V-VM installiert und ausgeführt habe. Windows 11 lässt sich problemlos auf einem Hyper-V-UEFI-System mit deaktiviertem Secure Boot installieren.
Sehenhttps://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements(beachten Sie, dass dort „UEFI, Secure Boot-fähig“ steht) undhttps://support.microsoft.com/en-us/topic/windows-11-and-secure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad(macht ausdrücklich klar, dass Secure Boot nicht aktiviert werden muss).