Por qué Windows 11 está dejando atrás a tantas computadoras (no es solo el TPM)

[05/07/2021] Si todavía se pregunta por qué su computadora relativamente reciente puede ser abandonada por Windows 11, es probable que el rendimiento de su CPU caiga en picada cuando se activen todas las funciones de seguridad del nuevo sistema operativo.

La semana pasada, Microsoft provocó un nido de avispas cuando anunció que Windows 11 no sería compatible con las CPUs de Intel de 7ª generación y anteriores, así como con las CPUs AMD Ryzen 1000 y anteriores.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Para aumentar la confusión, gran parte del "por qué" parecía girar en torno al requisito de un módulo TPM 2.0 para ejecutar el nuevo sistema operativo, pero muchas máquinas Core de 7ª generación y Ryzen 1000 pueden y admiten TPM. Pues bien, hay muchos más matices, que Mary Branscombe de TechRepublic parece haber encontrado.

En una entrevista en profundidad con el jefe de seguridad de Microsoft, David Weston, Branscombe informa de que muchos de los requisitos de hardware más importantes provienen de la activación de las funciones de virtualización de hardware denominadas Virtualization-Based Security (VBS) y Hypervisor-Protected Code Integrity (HVCI).

"La seguridad basada en la virtualización está activada por defecto. Obviamente el TPM está ahí, así que eso nos va a dar la capacidad de hacer BitLocker en Windows Hello en más escenarios por defecto", señaló Weston a Branscombe. "Eso va a permitir a las empresas comerciales hacer confianza cero y aprovechar cosas como System Guard. Hay mucho valor de seguridad fuera de la caja. Quiero que la gente abra su portátil y sienta que está mucho mejor protegida, y sabemos que lo estará, basándonos en el análisis de la inteligencia de las amenazas, frente a lo que hemos cambiado por defecto".

¿Microsoft ha hecho esto para vender más PCs nuevas?

Y no Internet, este cambio no es solo para vender más PCs (que ya se han disparado), es para hacer las PCs más seguras, señaló Microsoft.

"Si nos fijamos en los principales ataques que existen, ya sea ransomware o phishing, hemos atacado directamente para mitigarlos, o al menos hacerlos mucho, mucho mejor protegidos en Windows 11", indicó Weston a Branscombe.

Aunque probablemente reconozca el valor de la seguridad, sabemos que también se preguntará cómo la "seguridad" explica que un Core i7-7500U "Kaby Lake" de 7ª generación no pase la prueba de olfato de Windows 11 mientras que un Core i7-8550U "Kaby Lake R" sí lo hace. Y, lo que es aún más exasperante, ¿en qué mundo un Intel Atom x6500FE puede ponerse la camiseta de Windows 11 pero un Ryzen Threadripper 1950X de 16 núcleos queda fuera del equipo?

Branscombe explica que la razón no es tan arbitraria como parece: "La amplitud y variedad del ecosistema de PC hace que la especificación sea más complicada de lo que se podría pensar. Las CPU de 8ª generación de Intel, las Zen 2 de AMD y las series 7 y 8 de Qualcomm cuentan con las características de hardware adecuadas para la seguridad, la fiabilidad y el rendimiento; además, son totalmente compatibles. Mientras que las CPUs de 7ª generación y AMD Zen tienen las características de hardware, tienen lo que Microsoft describió como 'soporte limitado', por lo que una de las cosas que las versiones de Windows Insider de Windows 11 mostrarán es exactamente cuál de esos procesadores anteriores ofrecerá una experiencia lo suficientemente buena como para ser soportada", informa Branscombe.

Weston también dijo a TechRepublic que Microsoft se fijó en una media de hardware.

"Nos fijamos en una media que pensamos que estaba en el rango objetivo de la gente que va a adoptar Windows 11, y luego miramos el rendimiento y la fiabilidad y qué características están disponibles: la virtualización necesaria para las aplicaciones de Android, qué controladores están disponibles, las características de seguridad y tener una seguridad eficiente... todo eso se tuvo en cuenta en la decisión", señaló Weston a TechRepublic.

El rendimiento podría apestar con toda la seguridad activada

Para los que dudan de que haya mucha diferencia entre un chip Kaby Lake de 7ª generación y uno Whiskey Lake de 8ª generación, lo más probable es que la haya, pero no ha sido muy visible. Durante el gran impulso de Microsoft a sus PCs con núcleo seguro para Windows 10 -esencialmente, PCs reforzados dirigidos a usuarios empresariales- hubo numerosos informes anecdóticos de importantes impactos en el rendimiento al habilitar aspectos de la PC con núcleo seguro en computadoras antiguas. Daniel Aleksandersen escribió sobre cómo su portátil ThinkPad con Windows 10, de 7 años de antigüedad, se ralentizó cuando se activó erróneamente HVCI en su CPU Core i5-3472U.

Otros han informado de que la activación de las características de Secured Core en la 6ª generación de Skylake de Intel afectaría al rendimiento hasta en un 30%, lo que podría explicar por qué el chip Skylake-X de 18 núcleos de Intel, que cuesta dos mil dólares, va a ser excluido también de Windows 11.

Skylake no es Kaby Lake no es Coffee Lake después de todo

La falta de visibilidad de las funciones de seguridad que Intel y AMD han añadido a las CPU con el tiempo puede aumentar la confusión. El carácter despreocupado y cínico que la prensa y la comunidad del hardware han adoptado con los recientes diseños de CPU, especialmente los chips de Intel, probablemente tampoco ayude.

Recuerda que la gente a menudo descartó los cambios generacionales de Intel de la 6ª generación a la 7ª, 8ª y siguientes como si todo fuera "lo mismo de siempre con un par de núcleos más". Si bien eso puede ser cierto en cuanto al rendimiento, ese punto de vista parece haber pasado por alto los cambios de seguridad poco visibles a lo largo de los años.

Del mismo modo, mientras que el paso del Ryzen 1000 original de AMD (basado en la arquitectura Zen) a la serie Ryzen 2000 (basada en Zen+) también fue visto principalmente como una mejora en el precio, los núcleos Zen 2 mejoraron el rendimiento con HVCI y Mode Based Execution Control.

La propia guía de Microsoft del 2019 dijo que las CPUs sin la característica (Skylake y anteriores, así como Ryzen 1000) "dependerán de una emulación de esta característica, llamada Modo de Usuario Restringido, que tiene un mayor impacto en el rendimiento".

Tampoco hay garantía de que incluso las CPUs más recientes lo hagan tan bien. La guía de Dell para los clientes de sus portátiles comerciales Latitude o Precision de núcleo seguro advertía que sí, ¿los que ven ralentizaciones? Eso es una característica.

"No se está produciendo ninguna falla en estos sistemas", dice la nota de soporte de Dell. "Mientras se trabaja dentro de las limitaciones de diseño de Windows 10 y el diseño del sistema, la reducción del rendimiento es inherente al comportamiento de HVCI/VBS. Si el impacto en el rendimiento es demasiado grande, HVCI/VBS puede ser desactivado a través de uno de los métodos en el siguiente documento de Microsoft".

También está la cuestión más amplia de por qué Microsoft no deja simplemente que la gente desactive esas características de seguridad si ralentizan tanto las computadoras, pero esa es una discusión diferente sobre cómo quiere Microsoft avanzar en la cadena de mejora de la seguridad básica de cada PC con Windows 11.

Al menos por ahora, parece que cualquier movimiento para limitar los chips Intel de 4ª, 5ª y 6ª generación y las CPU Ryzen 1000 de AMD (o más antiguas) se basa al menos en el rendimiento real cuando se ejecuta bajo las directrices de seguridad más estrictas, y no solo una forma cínica de vender más computadoras nuevas.

Basado en el artículo de Gordon Mah Ung (PCWorld) y editado por CIO Perú