Microsoft liệt kê lý do tại sao TPM, Secure Boot là bắt buộc trên Windows 11

Hơn ba năm trước, khi Microsoft công bố Windows 11, hệ điều hành này đã lập tức gây ra nhiều tranh cãi. Không chỉ vì giao diện không theo quy ước mà còn vì yêu cầu phần cứng cao, khiến nhiều hệ thống vẫn có khả năng không thể chạy Windows 11 chính thức, đơn cử như trường hợp TPM và Secure Boot.

Microsoft đã nhiều lần giải thích lý do tại sao các tính năng như TPM (Trusted Platform Module) 2.0, VBS (Virtualization-based Security) và Secure Boot lại quan trọng đối với PC chạy Windows 11. Microsoft bắt buộc PC của người dùng phải hỗ trợ những tính năng nêu trên thì mới có thể sử dụng Windows 11, vì những lợi ích bảo mật nâng cao mà chúng mang lại, đồng thời công bố các bản demo trực quan để giải thích rõ hơn về cách thức hoạt động của những tính năng này.

Gần đây, với bản cập nhật tính năng Windows 11 24H2, Microsoft đã cập nhật một trong những bài viết hỗ trợ trên trang web chính thức của mình có tiêu đề “Automatic Device Encryption via BitLocker” (Mã hóa thiết bị tự động thông qua BitLocker), mà Microsoft gọi là "Auto-DE". Đáng chú ý là tài liệu này có đề cập đến lý do tại sao TPM và Secure Boot là bắt buộc đối với Device Encryption.

Dưới đây là nội dung tài liệu hỗ trợ trước khi được chỉnh sửa

Tại sao tính năng Device Encryption lại không khả dụng?

Sau đây là các bước để xác định lý do tại sao Device Encryption có thể không khả dụng:

1. Từ menu Start, nhập System Information, nhấp chuột phải vào System Information trong danh sách kết quả, sau đó chọn Run as administrator.

2. Trong danh sách System Summary - Item, hãy tìm giá trị Automatic Device Encryption Support hoặc Device Encryption Support.

• Giá trị cung cấp lý do tại sao Device Encryption không thể được kích hoạt
• Nếu giá trị hiển thị Meets prerequisites thì Device Encryption hiện khả dụng trên thiết bị của bạn.

Còn đây là nội dung tài liệu hỗ trợ sau khi đã được chỉnh sửa

Tại sao tính năng Device Encryption lại không khả dụng?

Sau đây là các bước để xác định lý do tại sao Device Encryption có thể không khả dụng:

1. Từ menu Start, nhập System Information, nhấp chuột phải vào System Information trong danh sách kết quả, sau đó chọn Run as administrator.

2. Trong danh sách System Summary - Item, hãy tìm giá trị Automatic Device Encryption Support hoặc Device Encryption Support.

Giá trị mô tả trạng thái hỗ trợ của Device Encryption:

• Meets prerequisites: Device Encryption khả dụng trên thiết bị của bạn
• TPM is not usable: Thiết bị của bạn không có Trusted Platform Module (TPM), hoặc TPM không được bật trong BIOS hoặc UEFI.
• WinRE is not configured: Thiết bị của bạn không có Windows Recovery Environment được cấu hình.
• PCR7 binding is not supported: Secure Boot bị vô hiệu hóa trong BIOS/UEFI, hoặc bạn đã kết nối các thiết bị ngoại vi với thiết bị của mình trong quá trình khởi động (như giao diện mạng chuyên dụng, dock kết nối hoặc card đồ họa ngoài)

Về cơ bản, bài viết nêu chi tiết những "điều kiện tiên quyết" chưa được đáp ứng đó là gì. Chúng bao gồm TPM, WinRE (Windows Recovery Environment) và Secure Boot.

Bên cạnh đó, Microsoft cũng đề cập đến PCR7. PCR, hay Platform Configuration Register, là một vị trí bộ nhớ trên TPM và được sử dụng để lưu trữ các thuật toán băm. PCR profile 7, hay PCR7, là thứ mà BitLocker liên kết. Liên kết này đảm bảo rằng khóa mật mã, trong trường hợp này là khóa BitLocker, chỉ tải trong một khoảng thời gian nhất định trong quá trình khởi động, không phải trước hoặc sau.

Đây là nơi Secure Boot phát huy tác dụng vì nó xác minh và xác thực chứng chỉ Microsoft Windows PCA 2011 cần thiết trong quá trình khởi động, vì chữ ký không hợp lệ sẽ dẫn đến BitLocker sử dụng các hồ sơ khác ngoài 7.

Sự quan tâm trở lại đối với BitLocker và mã hóa trên Windows 11 24H2 xuất hiện gần đây khi gã khổng lồ Redmond bất ngờ hạ thấp các yêu cầu OEM cho Auto-DE trên phiên bản Windows mới nhất, và do vậy, ngay cả PC gia đình cũng có thể được mã hóa tự động. Ngay sau đó, công ty cũng đã phát hành một hướng dẫn khôi phục và sao lưu tiện dụng cho khóa BitLocker.

Cách đây không lâu, Microsoft cũng đã tái khẳng định TPM 2.0 là một tiêu chuẩn không thể thương lượng trên hệ điều hành của mình.