مایکروسافت بارها توضیح داده است که چرا ویژگیهایی مانند TPM (ماژول پلتفرم امن) 2.0، VBS (امنیت مبتنی بر مجازی سازی) و بوت امن (Secure Boot) برای یک رایانه ویندوز 11 مهم هستند. اگرچه این قابلیتها از قبل وجود داشتند، مایکروسافت با انتشار ویندوز 11 آنها را اجباری کرد و اعلام کرد که این ویژگیها مزایای امنیتی قابل توجهی دارند. این شرکت حتی دموهای تصویری منتشر کرد تا بهتر توضیح دهد.
این موضوع مربوط به سال 2021 است. حالا با انتشار آپدیت ویژگیهای Windows 11 24H2 (که اخیراً برای کاربران بیشتری قابل دانلود شده)، مایکروسافت یکی از مقالات پشتیبانی خود را در وب سایت رسمیاش بروزرسانی کرده است.
این مقاله درباره رمزگذاری خودکار دستگاه با استفاده از BitLocker است که مایکروسافت به آن Auto-DE میگوید. بخشی از این سند بروزرسانی شده تا توضیح دهد چرا TPM و بوت امن برای رمزگذاری دستگاه ضروری هستند.
محتوای قبلی مقاله:
در گذشته، مقاله چنین توضیح میداد:
چرا رمزگذاری دستگاه در دسترس نیست؟
مراحل زیر را دنبال کنید تا دلیل عدم دسترسی به رمزگذاری دستگاه را مشخص کنید:
- در قسمت جستجوی Start، عبارت System Information را تایپ کرده و روی نتیجه کلیک راست کنید و گزینه Run as administrator را انتخاب کنید.
- در لیست System Summary – Item، مقدار Automatic Device Encryption Support یا Device Encryption Support را جستجو کنید.
- مقدار موجود، دلایل عدم دسترسی به رمزگذاری دستگاه را توضیح میدهد.
- اگر مقدار Meets prerequisites نمایش داده شود، رمزگذاری دستگاه برای سیستم شما فعال است.
محتوای جدید مقاله:
در نسخه بروزرسانی شده، متن به این صورت تغییر کرده است:
چرا رمزگذاری دستگاه در دسترس نیست؟
مراحل زیر را دنبال کنید تا دلیل عدم دسترسی به رمزگذاری دستگاه را مشخص کنید:
- در قسمت جستجوی Start، عبارت System Information را تایپ کرده و روی نتیجه کلیک راست کنید و گزینه Run as administrator را انتخاب کنید.
- در لیست System Summary – Item، مقدار Automatic Device Encryption Support یا Device Encryption Support را جستجو کنید.
- مقدار موجود وضعیت پشتیبانی از رمزگذاری دستگاه را توضیح میدهد:
- Meets prerequisites: رمزگذاری دستگاه در سیستم شما فعال است.
- TPM is not usable: دستگاه فاقد TPM است یا TPM در BIOS یا UEFI فعال نیست.
- WinRE is not configured: محیط بازیابی ویندوز (WinRE) پیکربندی نشده است.
- PCR7 binding is not supported: بوت امن در BIOS/UEFI غیرفعال است یا دستگاههای جانبی مانند کارتهای گرافیک خارجی هنگام بوت متصل هستند.
این مقاله توضیح داده است که چرا پیش نیازهایی مانند TPM، WinRE، و بوت امن برای رمزگذاری دستگاه ضروری هستند. همچنین به PCR7 اشاره شده که بخشی از TPM است و برای ذخیره الگوریتمهای هش استفاده میشود.
اهمیت PCR7:
PCR7 یا Platform Configuration Register 7 بخشی از TPM است که کلیدهای رمزنگاری مانند کلید BitLocker را فقط در یک زمان مشخص هنگام بوت شدن بارگذاری میکند. بوت امن نیز صحت گواهی Microsoft Windows PCA 2011 را تأیید میکند. اگر امضای دیجیتال معتبر نباشد، BitLocker به جای PCR7 از پروفایلهای دیگری استفاده میکند.
تغییرات در Windows 11 24H2:
مایکروسافت الزامات OEM را برای Auto-DE در نسخه 24H2 کاهش داده است، بطوری که حتی رایانههای خانگی نیز میتوانند به صورت خودکار رمزگذاری شوند. همچنین یک راهنمای بازیابی و پشتیبان گیری از کلید BitLocker منتشر شده است.
نرم افزارهای پشتیبان گیری و کلون سازی مانند Acronis نیز تغییرات مرتبطی در این زمینه ایجاد کردهاند.
مایکروسافت توصیه میکند برای بهرهمندی از این ویژگیها، از دستگاههای جدیدتر و پشتیبانی شده استفاده کنید و در صورت قدیمی بودن سیستم، دستگاه جدیدی تهیه کنید.