就在前几天，微软正式发布 Windows 11 26H1 （Build 28000.1340） 版本。本次更新除了常规的稳定性优化外，还特别加强了对新一代硬件平台的支持。

微软在更新说明中提到，系统针对部分新硬件架构进行了底层优化。业内分析认为，这极有可能是在为即将搭载 高通骁龙 X2 系列芯片 和英伟达 N1X 处理器的新平台 的 Windows 设备做准备，进一步提升 Windows 11 在 ARM 架构设备上的兼容性、功耗控制以及整体性能表现。

随着 ARM PC 生态不断成熟，Windows 11 在 ARM64 平台上的表现也越来越完善。可以更加完美的适配苹果 M3-M4 系列！

Windows 11 26H1 版本信息

• 系统版本：Windows 11 26H1

• 构建版本：Build 28000.1340

• 镜像类型：官方原版 ISO

• 支持架构：

  • x64 简体中文版 【点击下载】或 【海外下载】

  • x64 繁体中文版【点击下载】或 【海外下载】

  • ARM64 中文版【点击下载】或 【海外下载】（支持苹果 M3-M4）

Windows 11 26H1 安装方法

安装方式与 Windows 10 基本一致，用户可根据需求选择不同安装方案：

方法一：Windows 10 直接升级

在原 Windows 10 系统中运行安装程序即可进行升级安装，适合保留数据与软件环境的用户。

方法二：制作启动 U 盘全新安装（推荐）

可使用以下工具制作 Windows 11 启动盘：

• Rufus

• Ventoy

• WinPE 工具

制作完成后，通过 BIOS 选择 U 盘启动即可进行全新安装。

不支持 TPM 2.0 如何安装 Windows 11？

部分旧电脑可能不支持 TPM 2.0 或 Secure Boot，但可以通过新版工具绕过限制。

使用 Rufus / Ventoy 绕过 TPM 限制

最新版 Rufus 与 Ventoy 在制作启动盘时，已提供以下选项：

• 跳过 TPM 2.0 检测

• 跳过 Secure Boot 检测

• 跳过 CPU 与内存限制

勾选对应选项后即可正常安装 Windows 11 26H1。

KMS 方式激活系统

以管理员身份运行CMD，并依次输入以下命令：

slmgr.vbs /upk

slmgr /ipk W269N-WFGWX-YVC9B-4J6C9-T83GX

slmgr /skms kms.loli.best

slmgr /ato

Mac 苹果 M 系列安装 Windows 11 教程

如果你使用的是 Apple Silicon 芯片（M1 / M2 / M3 / M4），可以通过虚拟机安装 Windows 11 ARM64 版本。

推荐使用：

• Parallels Desktop

安装步骤：

1. 在 Mac 上安装 Parallels Desktop

2. 选择 Windows ARM 镜像

3. 导入 Windows 11 26H1 ARM64 ISO

4. 按提示完成安装

ARM64 版本针对 ARM 架构优化，运行流畅度明显优于通过转译方式运行的 x64 系统。

Windows 11 26H1 官方原版下载地址

下载链接：https://pan.quark.cn/s/f881e654604d

核心摘要：安全研究机构 Intrinsec 近日公开了一款名为 BitUnlocker 的演示工具，可在约 5分钟内 绕过仅依赖 TPM 的 Windows 11 BitLocker 加密。该攻击利用 降级攻击（Downgrade Attack） 路径，结合已修复的 CVE-2025-48804 与 Secure Boot 对旧版证书的全局信任，实现静默解封主密钥。攻击前提是物理接触设备。本文将拆解攻击链路、剖析底层信任机制，并提供可落地的加固方案。

一、攻击链路拆解：5分钟“解锁”是如何完成的？

1. 物理接触与介质准备：攻击者通过 USB 闪存盘向目标设备注入一个经过特殊构造的 Windows 映像文件。
2. 完整性校验“蒙混过关”：启动管理器会对该映像进行签名校验。由于文件外层包装合法，系统判定其“干净”并放行。
3. 隐蔽载荷注入：在校验通过的合法映像内部，攻击者附加了恶意启动代码。系统在验证后盲目执行该代码，从而获得对已解密卷的读写权限。
4. 利用降级路径：攻击者并未直接攻击最新组件，而是强制系统加载一个旧版、存在已知缺陷的启动管理器。由于该旧版组件仍被 Secure Boot 信任链认可，系统不会触发拦截。

 注：该漏洞的根源可追溯至 CVE-2025-48804，该漏洞存在于 Windows 恢复环境（WinRE）与系统部署映像机制中，微软已于 2025年7月 发布补丁修复。但 BitUnlocker 揭示了一个更隐蔽的问题：即使漏洞本身已修复，降级信任路径依然敞开。

1. 旧版证书的“历史包袱”

2. TPM 为何静默解封密钥？

 安全启示：TPM 保护的是“信任链完整性”，而非“绝对物理隔离”。当信任链本身包含可被利用的兼容层时，TPM 就会从“守门员”变成“自动放行器”。

 三、风险画像：谁在裸奔？谁已免疫？

配置状态	风险等级	说明
默认 TPM-only BitLocker	高危	无预启动验证，依赖旧版证书信任链，极易被降级路径利用
未安装最新累积更新/未迁移证书	中高危	即使打了 CVE-2025-48804 补丁，若仍信任 PCA 2011，降级路径仍有效
TPM + 预启动 PIN/USB Key	免疫	硬件要求物理交互输入凭证，攻击者无法在无交互情况下解封密钥
已部署 KB5025885 + UEFI CA 2023	免疫	信任链已迁移至现代证书体系，旧版签名组件将被 Secure Boot 拦截

重要前提：该攻击必须依赖物理访问。远程攻击者无法直接利用此路径。但若设备在无人值守、出差携带、二手流转等场景下失控，风险将呈指数级上升。

 第一步：启用“TPM + PIN”双因子预启动验证

• 专业版/企业版：Win + R → 输入 gpedit.msc → 计算机配置 → 管理模板 → Windows 组件 → BitLocker 驱动器加密 → 操作系统驱动器 → 启用 启动时需要附加身份验证 → 勾选 允许 BitLocker 在没有兼容 TPM 的情况下使用 PIN（实际启用 TPM+PIN 时此项可保持默认）。
• 命令行快速配置：

  manage-bde -protectors -add C: -TPMAndPIN

  按提示设置 6 位以上 PIN 码后，系统将要求重启以生效

   第二步：安装补丁并完成证书迁移

  确保系统已应用 KB5025885（或更新的累积更新），该更新会引导设备将 Secure Boot 信任锚从 Windows PCA 2011 迁移至现代 Windows UEFI CA 2023。

  • 检查更新状态：设置 → Windows 更新 → 更新历史记录
  • 验证当前 Secure Boot 证书：以管理员身份运行 PowerShell：

    Get-SecureBootUEFI -Name db

     

  • 确认输出中包含 UEFI CA 2023 相关签名条目。

   第三步：强化物理与固件层安全

  1. 设置 UEFI/BIOS 管理员密码：防止攻击者通过修改启动顺序或禁用 Secure Boot 绕过检测。
  2. 禁用外部介质启动：在固件设置中关闭 USB Boot 或设置为 After OS。
  3. 启用硬件级防篡改：部分企业级设备支持 Chassis Intrusion 或 Boot Guard，建议在固件中开启。

  安全不是“一键开启”，而是“纵深防御”

  BitUnlocker 的出现并非宣告 BitLocker 失效，而是再次印证了一个经典安全定律：任何单一控制点都会在兼容性、便利性或历史包袱面前暴露出脆弱面。微软保留旧版证书是出于现实生态考量，但安全管理员与个人用户必须主动补齐信任链的最后一块拼图。
   最佳实践总结：
  • 永远不要依赖 TPM-only 作为唯一防线
  • 保持系统更新，及时完成证书锚点迁移
  • 物理安全 + 预启动强认证 + 固件加固 = 真正的“免打扰”加密体验

  你的设备安全等级到哪一步了？欢迎在评论区分享你的 BitLocker 配置策略，或提出企业级部署中的痛点，我们将持续跟进微软安全基线演进与实战防护方案。

  ---

  本文基于 Intrinsec 公开研究及微软安全公告整理，漏洞细节已遵循负责任披露原则。截至 2026 年 5 月，相关补丁已全面推送，建议所有 Windows 11 用户尽快完成安全基线核查。

很多人平时都会遇到这样的问题：电脑越用越卡、软件冲突、系统莫名其妙报错，甚至蓝屏、崩溃、启动异常……而绝大多数人的解决方式，通常只有两个：

• 重装系统
• 或者硬着头皮继续忍

但真正让人崩溃的，其实并不是“重装系统”这件事本身。而是——重装以后，之前安装的软件、各种配置、剪辑快捷键、插件、开发环境、模型文件，全都要重新折腾一遍。

尤其是对于经常装软件、测试工具、剪视频、搞开发的人来说，重新配置环境，往往比重装系统本身更痛苦。

所以今天这篇文章，就来分享一种我自己长期在用的 Windows 完整备份方案。

它和普通“重装系统”最大的区别在于：

它可以在系统最稳定、软件最完整的时候，创建一个“完整镜像”。

以后无论系统崩溃、变卡、出问题，甚至中病毒——都可以直接“一键还原”回当时的状态。

包括：

• 已安装的软件
• 软件设置
• 系统配置
• 驱动
• 剪辑快捷键
• 开发环境
• 模型文件

全部都能完整恢复。

简单来说：

这不是“重装系统”。

而是真正意义上的：

Windows 完整克隆恢复

为什么我强烈建议做系统完整备份？

很多人其实都低估了“重新配置电脑”要浪费多少时间。

尤其是下面这些场景：

• Adobe PR / AE 剪辑环境
• OBS 推流配置
• AI 模型运行环境
• Python / Node 开发环境
• 浏览器插件
• SSH / Git 配置
• Docker 环境
• ComfyUI / AI 工作流
• 各种注册码、授权文件

这些东西并不是“安装一下软件”就结束的。

真正耗时间的是：

后期调教与配置。

而系统映像备份最大的价值就在于：

你可以把“当前最完美的系统状态”永久保存下来。

以后电脑无论怎么折腾：

几分钟直接恢复。

Windows 自带完整备份功能，其实很多人都不知道

很多人以为 Windows 没有真正的完整备份功能。

实际上：

Windows 7、Windows 10、Windows 11 都内置了“系统映像备份”。

只是微软把它藏得比较深。

一、如何创建 Windows 完整系统备份？

第一步：打开控制面板

首先打开 Windows 搜索栏。

输入：

控制面板

然后打开它。

如果你的界面显示方式不同，可以把右上角“查看方式”改成：

类别

接着进入：

系统和安全

然后找到：

通过文件历史记录保存你的文件备份副本

打开它。

第二步：打开“系统映像备份”

在左下角找到：

系统映像备份

然后点击：

创建系统映像

这时候 Windows 会询问：

你想把备份保存到哪里？

这里有三种方式：

• 硬盘
• DVD
• 网络位置 / NAS / 内网服务器

我个人最推荐：

外置硬盘

原因很简单：

• 容量大
• 更稳定
• 更安全
• 恢复速度更快

当然，如果你电脑有多块独立硬盘，也可以直接备份到其它硬盘。

注意：不要备份到同一块硬盘！

这个很多人容易搞错。

Windows 所说的：

D盘 / E盘 / F盘

如果只是“分区”，而不是“独立物理硬盘”，其实风险依然存在。

因为：

如果整块硬盘损坏。

你的备份也会一起没掉。

所以最稳的方法：

• 外置硬盘
• 第二块 SSD
• NAS
• 机械硬盘

第三步：开始完整备份

系统会自动勾选：

• EFI 分区
• 系统盘
• Windows 恢复环境

这些都是必须的。

随后 Windows 会显示：

本次备份需要占用多少空间

例如：

• 50GB
• 100GB
• 200GB

取决于你当前系统盘占用了多少内容。

确认空间足够后：

点击：

开始备份

即可。

之后 Windows 会开始完整创建系统镜像。

四、备份完成后会生成什么？

完成以后。

在你的硬盘里会出现一个：

WindowsImageBackup

文件夹。

里面就是整个系统的完整镜像。

五、以后如何恢复系统？

重点来了。

这才是真正最实用的地方。

方法一：Shift + 重启

按住：

Shift

不要松开。

然后点击：

开始 → 重启

即可进入 Windows 恢复模式。

方法二：强制开关机三次

如果系统已经崩溃无法启动：

• 长按电源键强制关机
• 开机
• 再强制关机
• 连续三次

Windows 会自动进入恢复环境。

六、恢复系统步骤

进入恢复界面后：

依次点击：

疑难解答
→ 高级选项
→ 查看更多恢复选项
→ 系统映像恢复

然后：

Windows 会自动识别之前备份好的镜像文件。

接下来：

一路下一步即可。

最后系统会提示：

当前数据将被系统映像覆盖。

确认后：

开始恢复。

七、恢复后效果到底怎么样？

恢复完成以后。

电脑会回到：

你创建备份时的那个状态。

包括：

• 软件
• 数据
• 设置
• 桌面
• 驱动
• 剪辑环境
• 插件
• 模型文件

全部保留。

几乎就像：

时间倒流。

最推荐的使用方式

我个人非常建议：

当你：

• 刚装完系统
• 驱动稳定
• 软件安装齐全
• AI 环境配置完成
• PR / OBS / 开发环境调好

这个时候。

立刻创建一次完整系统备份。

以后无论怎么折腾：

都能瞬间恢复。

最后总结

相比传统重装系统：

Windows 系统映像恢复最大的优势就是：

真正意义上的“完整克隆恢复”

它不仅恢复系统。

更重要的是：

连你的软件环境、设置、工作流、使用习惯都一起恢复。

对于：

• 剪辑用户
• AI 玩家
• 开发者
• 经常测试软件的人

这个功能真的非常实用。

尤其是现在 AI 模型、开发环境越来越复杂。

提前做好系统镜像备份。

真的可以省下大量时间。

别等系统崩了以后。

才后悔没备份。

 核心工具介绍

1. Rufus：不仅仅是制作启动盘的工具，更是绕过 TPM 2.0、安全启动限制的神器。
2. Winhance：一款系统深度精简与优化神器，专门用于剔除 Windows 11 中不必要的臃肿服务、遥测数据和预装应用。

安装步骤：

第一步：获取最新的 Windows 11 镜像

• 访问微软官方或可信的镜像站点 【英文站】、【简体中文】、【繁体中文】
• Windows 11 最新版：【点击下载】
• 下载最新的 Windows 11 ISO 镜像文件
• 提示：请务必校验 SHA1/MD5 值，确保镜像未被篡改。

第二步：使用 Rufus 制作“免限制”启动盘

1. 下载并打开最新版的 Rufus 【点击前往】或 【备用下载】
2. 插入你的 U 盘（建议 8GB 以上）。
3. 在“引导类型选择”中，加载刚才下载的 Windows 11 ISO 文件。
4. 重点操作：点击“开始”后，Rufus 会弹出一个用户自定义窗口。请务必勾选以下选项：
   • 移除 4GB+ RAM, Secure Boot and TPM 2.0（移除内存、安全启动和 TPM 2.0 限制）
   • 移除登录微软账号（移除在线微软账户强制要求，支持本地账户）
   • 移除优化体验
   • 自定义更多移除选项
5. 等待写入完成，你就拥有了一个能安装在任何老旧电脑上的 Win11 安装盘。

第三步：利用 Winhance 进行深度精简与优化

1. 1. 下载并运行 Winhance 【点击前往】或 【备用下载】

• 界面概览：你会看到清晰的分类模块，包括“应用卸载”、“服务禁用”、“隐私设置”等。
• 一键精简：
  • 勾选 “Remove Bloatware”（移除预装应用）：如 Cortana、Edge 、AI 等非必要组件、新闻小组件等。
  • 勾选 “Disable Telemetry”（禁用遥测）：彻底切断微软的数据收集，提升隐私安全性并减少后台资源占用。
  • 勾选 “Optimize Services”（优化服务）：关闭打印后台处理程序（如果你不用打印机）、Fax 服务等老旧组件。
• 点击 “Apply”，重启电脑。

 最终效果：这才是 Windows 该有的样子

• 极度轻量：内存占用比官方原版低 30% 以上。
• 绝对纯净：没有弹窗广告，没有强制更新的干扰，没有用不到的预装游戏。
• 兼容性强：即使是 5 年前的老笔记本，也能流畅运行最新的 Windows 11 26H1 核心。
• 安全无忧：绕过了即将过期的 Secure Boot 证书问题，同时保持了系统核心的安全更新通道。

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

确保你能看到这个提示：

WindowsUEFICA2023Capable REG_DWORD 0x0
UEFICA2023Status REG_SZ NotStarted

资源下载