Аппаратная безопасность Windows 11 строится на трёх взаимосвязанных компонентах: TPM 2.0, Secure Boot и поддержке инструкций CET (Control-flow Enforcement Technology). Отсутствие любого из них не просто снижает уровень защиты — оно меняет саму архитектуру безопасности системы. Модуль TPM генерирует и хранит криптографические ключи, обеспечивает проверку подлинности на этапе старта и является основой для шифрования тома BitLocker. Тем не менее утверждение о полной недоступности BitLocker без TPM является мифом. Операционная система поддерживает альтернативный режим шифрования: через редактор gpedit.msc в разделе «Параметры BitLocker» можно разрешить шифрование без совместимого TPM — в этом случае разблокировка зашифрованного тома будет происходить через ввод длинного пароля или подключение USB-накопителя с ключом при каждом включении компьютера. Это снижает удобство, но не делает защиту данных принципиально недостижимой. Обход требований TPM 2.0 и Secure Boot при установке Windows 11 фиксирует и другой аспект: Secure Boot на очень старых ноутбуках с Legacy BIOS физически отсутствует, поэтому его включение становится невозможным вне зависимости от настроек. На платформах с UEFI активация Secure Boot требует обязательного перевода диска в GPT-разметку — иначе система, загружавшаяся в Legacy-режиме, становится незагружаемой немедленно после изменения настроек. Анализ рисков установки Windows 11 на неподдерживаемое оборудование ставит вопрос об отключении VBS и HVCI в практическую плоскость: для домашнего игрового ПК без хранения банковских данных отключение этих функций возвращает до 30% производительности и является приемлемым компромиссом. Для корпоративной рабочей станции или устройства с доступом к Active Directory отключение HVCI нарушает Credential Guard и открывает векторы атак уровня ядра — в таких сценариях установка системы на неподдерживаемое железо изначально является неприемлемым решением с точки зрения ИБ.