需同时验证安全启动与TPM 2.0状态:①msinfo32查“安全启动状态”及TPM线索;②tpm.msc确认TPM规范版本为2.0且就绪;③PowerShell运行Confirm-SecureBootUEFI和Get-Tpm命令;④Windows安全中心查看“安全处理器”和“安全的启动”;⑤事件查看器检查固件日志中SecureBoot成功记录。
如果您需要确认 Windows 11 系统是否处于受信任的启动链中,则必须同时验证安全启动(Secure Boot)与可信平台模块(TPM)的运行状态。这两项机制共同构成系统完整性基础,缺一不可。以下是多种独立且互为印证的检测方法:
一、使用系统信息工具(msinfo32)同步查看 Secure Boot 与 TPM 状态
该方法通过 Windows 内置系统信息模块,一次性读取固件层的“安全启动状态”及系统摘要中隐含的 TPM 就绪线索,无需额外权限或重启,适合快速初筛。
1、按下 Win + R 组合键打开“运行”对话框。
2、输入 msinfo32 并按回车,启动系统信息窗口。
3、在右侧详细信息列表中,向下滚动查找名为 “安全启动状态” 的条目,记录其值(开启/关闭/不支持)。
4、继续滚动,在同一窗口中查找 “TPM 芯片” 或 “安全设备” 相关描述;若显示“已就绪”或存在 TPM 字样但无明确版本,需结合其他方法确认规范版本。
二、使用 tpm.msc 管理控制台精确识别 TPM 2.0 启用状态
tpm.msc 是 Windows 提供的专用 TPM 管理界面,直接调用内核驱动接口,可明确呈现 TPM 是否物理存在、是否启用、是否就绪及规范版本号,是判断 TPM 2.0 是否满足 Win11 强制要求的核心依据。
1、按下 Win + R,输入 tpm.msc 并回车。
2、等待“受信任的平台模块管理器”窗口加载完成。
3、查看右侧信息栏中的 “规范版本” 字段:必须为 2.0;同时确认 “状态” 显示为 “该设备已就绪” 或 “TPM 已准备就绪,您可以使用”。
4、若提示 “找不到兼容的 TPM”,则表明固件中 TPM 功能被禁用或硬件不支持 TPM 2.0。
三、通过 PowerShell 命令行并行验证 Secure Boot 与 TPM 运行时状态
PowerShell 可分别调用 UEFI 固件接口与 TPM 驱动对象,返回布尔型结果,响应迅速、结果权威,适用于技术用户或脚本化批量检查场景,且能规避 UI 层缓存干扰。
1、以管理员身份运行 PowerShell:右键“开始”按钮 → 选择 Windows Terminal(管理员) 或 PowerShell(管理员)。
2、输入命令 Confirm-SecureBootUEFI 并回车;若返回 True,表示 Secure Boot 已启用并处于活动状态。
3、在同一窗口中输入命令 Get-Tpm 并回车;检查输出中 TpmPresent 与 TpmReady 两个字段是否均为 True。
4、若任一命令报错或返回 False,说明对应机制未激活或固件级支持异常。
四、通过 Windows 安全中心整合视图交叉核验引导完整性
Windows 安全中心聚合了内核级引导验证、TPM 注册状态与安全启动参与度等多源信号,以图形化方式呈现“设备安全性”全景,可间接反映系统完整性状态是否完整可信。
1、打开“设置” → “隐私和安全性” → “Windows 安全中心”。
2、点击左侧菜单中的 “设备安全性”。
3、在右侧查找 “安全处理器” 和 “安全的启动”(或“核心隔离详细信息”)两个区域。
4、若两者均显示 “正在运行” 或 “已启用”,且无警告图标,则表明 Secure Boot 与 TPM 2.0 共同参与当前启动链,系统完整性状态可信。
五、检查 UEFI 固件事件日志获取底层 Secure Boot 初始化证据
UEFI 固件在启动过程中会将 Secure Boot 密钥验证、策略加载等关键动作写入独立于操作系统的固件事件日志,该日志由固件直接生成,具备最高可信等级,可用于排除操作系统层误判。
1、按下 Win + X,选择 “事件查看器”。
2、在左侧面板中依次展开 “应用程序和服务日志” > “固件” > “事件日志”。
3、查找事件 ID 为 1001 或包含关键词 “SecureBoot”、“Signature”、“Policy” 的条目。
4、若存在时间戳匹配最近一次启动、且状态为 “Success” 的日志,则证明 Secure Boot 在固件层已完成完整验证流程。
