Windows 11 TPM 듀얼 부팅

tag-icon tag-icon windows multi-boot dualboot windows-11
Windows 11 TPM 듀얼 부팅

Windows 11에 TPM 및 보안 부팅이 필요하다는 사실은 예를 들어 Linux에서 더 이상 이중 부팅 설정을 사용할 수 없다는 것을 의미합니까?

답변1

듀얼 부팅을 사용하는 모든 제품은 보안 부팅, UEFI 및 TPM을 지원해야 합니다. 대부분의 이중 부팅 시나리오에서는 시작되지 않을 가능성이 높습니다.

여기와 다른 곳에서 나타나는 이중 부팅 질문 중 상당수는 오래되었고 비 UEFI가 필요하며 Windows 11에서 작동하지 않는 보안 부팅이 비활성화되어 있습니다.

현시점에서는 아직 새롭지만 엄격한 요구 사항이 계속 유지될 것으로 예상됩니다. 즉, Windows 11 기본 요구 사항(보안 부팅 및 UEFI)을 지원하지 않는 것은 작동하지 않습니다. 이는 요구 사항이 완화된 현재 설정 중 상당수가 Windows 11에서 작동하지 않음을 의미합니다.

가상 머신은 Windows 11에서 여러 머신을 실행하는 데 훨씬 더 가능성이 높은 방법이 될 것입니다.

답변2

그만큼TPM수동 구성 요소입니다. OS(또는 부트로더)가 특별히 상호 작용을 시도하지 않는 한 자체적으로 부팅 프로세스에 관여하지 않습니다. TPM을 지원하지 않는 경우에도 OS를 이중 부팅할 수 있습니다.

즉, 만약 당신이원하다Linux에서 TPM을 사용하려면 Windows에서 초기화한 경우에도 여전히 그렇게 할 수 있습니다.

Windows는 TPM2가 버리는 임의의 "소유자 암호"를 사용하여 TPM2를 초기화합니다. 그러나 암호를 즉시 버린다는 사실은 정상적인 작동에 암호가 필요하지 않다는 것을 알려줍니다.

예를 들어, RSA "스토리지 루트 키"는 0x81000001에서 표준 방식으로 초기화되며 Linux를 포함한 모든 OS에서 사용할 수 있습니다. (systemd-cryptenroll과 같은 일부 도구는 이를 무시하고 대신 ECDSA 루트 키를 생성합니다.)

(필요한 경우 Windows가 레지스트리에 소유자 비밀번호를 저장하도록 설득할 수 있습니다. 물론 버려진 비밀번호를 복구할 수는 없으므로 TPM을 다시 초기화해야 합니다.)

현재 유일한 제한은 Linux tpm2-tss에서 고급 FAPI 도구를 사용할 수 없다는 점이지만 이는 실제로 큰 손실은 아닙니다. 어쨌든 거의 모든 것이 "원시" EAPI를 기반으로 구축됩니다.

반면,보안 부트기능으로 인해 문제가 발생할 수 있습니다. 공식적으로 지원되는(Microsoft 서명 부트로더가 있는) Fedora 또는 Ubuntu와 같은 Linux 배포판을 계속 사용할 수 있습니다.

Shim약간만 수정하면 Microsoft 서명을 사용하여 UEFI를 지원하는 거의 모든 것을 부팅 할 수 있습니다 . (Shim은 해시를 통해 알 수 없는 .efi 파일을 인증하라는 메시지를 표시하므로 일종의 허점입니다.)

x86 시스템의 보안 부팅을 사용하면 다음을 설정할 수도 있습니다.너 스스로Microsoft 키와 함께 서명 키. 이것은 얻을 수 있습니다상당히복잡하지만 그럼에도 불구하고 Linux 커널이나 다른 .efi 파일을 펌웨어의 보안 부팅으로 완전히 검증하는 것은 완전히 가능합니다.

답변3

보안 부팅 요구 사항에 대한 언론 기사에는 잘못된 정보가 많이 있었습니다. Windows 11을 설치하고 실행하려면 컴퓨터가 "보안 부팅 가능"해야 하며~ 아니다보안 부팅을 활성화해야 합니다. "보안 부팅 가능"이라는 것은 시스템이 레거시 BIOS/CSM이 아닌 UEFI를 통해 부팅된다는 의미입니다.

(기술적으로 보안 부팅은 2012년에 출시된 2.3.1 Errata C의 UEFI 사양에 추가되었습니다. 지난 5년 이상 동안 출시된 거의 모든 소비자 마더보드는 보안 부팅이 가능하다고 생각됩니다.)

Windows 11에서도 TPM 2.0을 활성화해야 하지만 다른 답변에서 언급했듯이 보안 부팅이 활성화되는 것처럼 다른 OS가 실행되는 것을 막지는 못합니다.

Windows 11에서는 Hyper-V VM에 설치하고 실행하여 보안 부팅을 활성화할 필요가 없음을 확인했습니다. Windows 11은 보안 부팅이 비활성화된 Hyper-V UEFI 시스템에 원활하게 설치됩니다.

보다https://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements("UEFI, 보안 부팅 가능"이라고 표시되어 있음)https://support.microsoft.com/en-us/topic/windows-11-and-secure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad(보안 부팅을 활성화할 필요가 없음을 명시적으로 명시합니다).

관련 정보