Windows 11 需要 TPM 和安全啟動這一事實是否意味著我們不能再與 Linux 進行雙啟動設定?
答案1
任何雙重啟動的設備都必須支援安全啟動、UEFI 和 TPM。對於大多數雙啟動場景來說,它很可能是行不通的。
這裡和其他地方出現的許多雙重啟動問題都是較舊的,需要非 UEFI,並且禁用了安全啟動,這不適用於 Windows 11
目前它仍然是新的,但我預計嚴格的要求仍將存在。也就是說,任何不支援Windows 11基本要求(安全啟動和UEFI)的東西都將無法運作。這意味著目前許多要求較寬鬆的設定將無法在 Windows 11 中運作。
虛擬機器將是運行 Windows 11 多台電腦的一種更有可能的方式。
答案2
這全員生產管理是被動元件;它本身不會參與引導過程,除非作業系統(或引導程式)專門嘗試與其互動。即使作業系統不支援 TPM,您也可以雙啟動作業系統。
也就是說,如果你想要在 Linux 中使用 TPM,即使它是由 Windows 初始化的,您仍然可以這樣做。
Windows 使用它丟棄的隨機「所有者密碼」來初始化 TPM2...但它立即丟棄密碼的事實只是告訴您正常操作不需要它。
例如,RSA「儲存根金鑰」以標準方式在 0x81000001 處初始化,並且可以在任何作業系統(包括 Linux)中使用。 (某些工具,例如 systemd-cryptenroll,只會忽略它並產生 ECDSA 根密鑰。)
(如果有必要,您仍然可以說服Windows將擁有者密碼儲存在登錄中,儘管顯然您無法恢復被丟棄的密碼,因此這需要重新初始化TPM。)
目前唯一的限制是你不能使用 Linux tpm2-tss 中的進階 FAPI 工具,但這確實不是一個很大的損失;無論如何,幾乎所有東西都建立在「原始」EAPI 之上。
另一方面,安全啟動功能可能會引起一些麻煩。您應該仍然可以使用 Fedora 或 Ubuntu 等具有官方支援的 Linux 發行版(它們具有 Microsoft 簽名的引導程式)。
經過一些修改,您應該能夠使用 Microsoft 簽章Shim來啟動幾乎所有支援 UEFI 的東西。 (這是一種漏洞,因為 Shim 只是提示您透過雜湊值授權未知的 .efi 檔案。)
x86 系統上的安全啟動還允許您進行設置你自己與 Microsoft 金鑰一起簽署金鑰。這樣可以得到相當雖然很複雜,但完全有可能讓 Linux 核心或另一個 .efi 檔案透過韌體的安全啟動進行完全驗證。
答案3
關於安全啟動要求的新聞文章中有很多錯誤訊息。要安裝和執行 Windows 11,您的電腦需要具有“安全啟動功能”,並且不是必須啟用安全啟動。 「具有安全啟動能力」實際上只是意味著系統透過 UEFI 啟動,而不是傳統 BIOS/CSM。
(從技術上講,安全啟動已添加到 2012 年發布的 2.3.1 Errata C 中的 UEFI 規範中;我想過去 5 年多發布的幾乎所有消費類主機板都具有安全啟動功能。)
還必須為 Windows 11 啟用 TPM 2.0,但正如另一個答案中提到的,這不會阻止其他作業系統運行,就像啟用安全啟動一樣。
我驗證了 Windows 11 不需要透過在 Hyper-V VM 中安裝和執行來啟用安全啟動。 Windows 11 可以在停用安全啟動的 Hyper-V UEFI 系統上順利安裝。
看https://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements(注意它說“UEFI,支援安全啟動”),以及https://support.microsoft.com/en-us/topic/windows-11-and-secure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad(明確表明不需要啟用安全啟動)。