2021-06-30 13:40:50
Про CPU в системных требованиях #Windows11
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard
Этот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр AvailableSecurityProperties, например, так:
(Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard).AvailableSecurityProperties
Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра 7, ваш ЦП поддерживается.
Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10, если процессор поддерживает MBEC. По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС
160 views10:40