Что такое tpm 2 0 и как его включить

Обновлено: 05.07.2024

В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности.

Аттестация работоспособности устройства

Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства.

На устройстве можно проверить следующее.

Предотвращение выполнения данных поддерживается и включено?

Шифрование диска BitLocker поддерживается и включено?

Безопасная загрузка поддерживается и включена?

Windows 11, Windows 10, Windows Server 2016 и Windows Server 2019 поддерживают подтверждение работоспособности устройства с помощью доверенного платформенного модуля 2.0. Поддержка доверенного платформенного модуля 1.2 была добавлена, начиная с Windows версии 1607 (RS1). Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Компьютер с устаревшими BIOS и доверенным платформенным модулем 2.0 будет работать не так, как ожидалось.

Эта статья предназначена для пользователей, которые не могут перейти на Windows 11, так как их компьютер в настоящее время не включен с поддержкой TPM 2.0 или компьютер может работать под управлением TPM 2.0, но не настроен для этого. Если вы не знакомы с таким уровнем технических сведений, мы рекомендуем вам ознакомиться со сведениями о поддержке изготовителя компьютера, чтобы получить дополнительные инструкции для вашего устройства.

Большинство компьютеров, которые поставлялись за последние 5 лет, могут работать с модулем доверенного платформы версии 2.0 (TPM 2.0). Для запуска TPM 2.0 требуется Windows 11, что является важным элементом для обеспечения безопасности. TPM 2.0 используется в Windows 11 для ряда функций, в том числе для защиты удостоверений Windows Hello BitLocker для защиты данных.

В некоторых случаях компьютеры с возможностью запуска TPM 2.0 не настроены для этого. Если вы хотите учесть, что Windows 11, убедитесь, что на вашем устройстве включена TPM 2.0. Большинство розничных планшетов для компьютеров, используемых людьми, которые используют собственный компьютер, например, по умолчанию отключили TPM, даже если этот компьютер можно включить почти полностью.

Вариант 1. Использование Безопасность Windows приложения

Запуск Параметры > обновления & безопасности >Безопасность Windows > устройств

Если на этом экране нет раздела Процессор безопасности, возможно, на компьютере отключен режим TPM. Дополнительные сведения см. в инструкциях по в том, как включить технологию TPM, или в сведениях о поддержке изготовителя компьютера. чтобы включить TPM. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.

Если в области Процессор безопасности есть параметр Сведения об процессоре Security,выберите его и убедитесь, что версия спецификации — 2.0. Если она меньше 2.0, ваше устройство не соответствует требованиям Windows 11.

Вариант 2. Использование консоли управления Майкрософт

Нажмите клавиши [Windows] + R или нажмите кнопку Начните> выполнить.

Введите "tpm.msc" (не используйте кавычка) и выберите ОК.

Что делать, если в компьютере нет TPM

Ноутбуки с модулем TPM 2.0 выпускаются с 2017 года большинством популярных брендов, в их числе: Microsoft, ASUS, Lenovo, Dell, HP, Acer, MSI и Gigabyte. На рынке персональных компьютеров более оправдано делать TPM опциональной функцией, так как пользователю удобнее докупить модуль при необходимости, чем переплачивать за изначально встроенную технологию, которая может не понадобиться.

Материнские платы с TPM-коннектором выпускают в основном ASUS, Gigabyte, ASRock, MSI и Biostar. Учитывайте, что они могут поставляться с поддержкой разъёма, но без доверенного платформенного модуля. Его необходимо покупать дополнительно в зависимости от чипсета и, конечно, от того же производителя. Цена классического дискретного TPM-модуля начинается приблизительно от 1-1,5 тыс. рублей.

Если компьютер или материнская плата не оснащены физическим чипом TPM 2.0, то существует программная реализация в виде эмуляции возможностей доверенного платформенного модуля. Виртуальная поддержка TPM 2.0 встроена в подавляющую часть процессоров как Intel, так и AMD последних годов выпуска. Подробнее о таком способе использования TPM 2.0 рассказано в отдельной статье. Естественно, в зависимости от ситуации используемый процессор должен поддерживать технологию fTPM (Firmware Trusted Platform Module — AMD) или PPT (Platform Protection Technology — Intel).

Имеется ли на моем компьютере доверенный платформенный модуль?

Существует высокая вероятность того, что на вашем компьютере уже есть доверенный платформенный модуль и, если ему менее 5 лет, это версия TPM 2.0.

Чтобы узнать, есть ли доверенный платформенный модуль на вашем компьютере с Windows 10, выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства. Если он у вас есть, на экране будет отрезок Процессор безопасности.

Ссылка на сведения об обработчике безопасности

Совет: Если вы не видите раздел Процессор безопасности, возможно, на вашем устройстве есть TPM, но она отключена. Чтобы узнать, как включить его, см. статью Включение TPM 2.0 на компьютере.

Далее нужно узнать, какая версия доверенного платформенного модуля есть на вашем компьютере. Выберите Сведения об обработчике безопасности и на появившемся экране найдите версию спецификации. Должна быть указана версия 1.2 или 2.0.

Важно: Для Windows 11 требуется TPM 2.0. Дополнительные сведения см. в статье Требования к системе для Windows 11.

Хотите узнать больше о доверенном платформенном модуле? См. статью Обзор технологии доверенного платформенного модуля.

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Windows 11 официально анонсирована. Минимальные системные требования новой операционной системы уже объявлены: только 64-битный процессор с двумя или более ядрами, не менее 4 ГБ оперативной памяти, видеокарта с поддержкой DirectX 12 Ultimate и накопитель объёмом от 64 ГБ. Среди них также указан загадочный «доверенный платформенный модуль» или TPM, о котором вы, скорее всего, узнали впервые буквально только что. В связи со скорым выпуском Windows 11 (октябрь 2021 года) полностью ввожу в курс изменений: что такое TPM и почему без данной характеристики у вас не получится обновить свой компьютер.

Какая версия TPM требуется для Windows 11

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Для установки Windows 11 компьютер должен поддерживать прошивку UEFI (режим BIOS), протокол безопасной загрузки Secure Boot и быть оборудован интегрированным доверенным платформенным модулем версии 2.0 (актуальная версия спецификации TPM, признана в качестве международного открытого стандарта ISO/IEC 11889:2015 в 2015 году). Все будущие устройства под управлением Windows 11 из коробки обязаны реализовывать TPM 2.0 — необходимы присутствие компонента и его активация по умолчанию после первого включения. Требование спецификации TPM 2.0 распространяется и на программную реализацию (firmware-based).

Чтобы проверить, есть ли в вашем компьютере TPM, необязательно разбирать корпус, лезть в его внутренности и выискивать крошечный чип.

Содержание

Что такое TPM и как выглядит криптомодуль

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

«Доверенный платформенный модуль» (TPM, Trusted Platform Module) — аппаратная технология безопасности для компьютеров, разработанная некоммерческой организацией Trusted Computing Group. Архитектура TPM реализована на основе нескольких компонентов: защищённый ввод-вывод, криптографический процессор, энергонезависимая память для хранения ключа подтверждения и энергозависимая память для хранения регистров конфигурации платформы.

TPM является отдельным физическим микрочипом на материнской плате. Он отвечает исключительно за функции, связанные с защитой компьютера, учётных данных и программного обеспечения. Разъём для такого модуля, как правило, имеет специальную маркировку «TPM» в соответствии с требованиями Trusted Computing Group. Каждый TPM обладает собственным уникальным идентификатором, он записан прямо в микросхему и не может подвергаться изменениям.

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Как включить TPM

Если вам нужно включить TPM, управление этими настройками осуществляется с помощью UEFI BIOS (программное обеспечение для ПК) и зависит от устройства. Чтобы получить доступ к этим настройкам, Параметры> Обновить & безопасность > восстановление >перезапустить.

На следующем экране выберите устранение > дополнительных параметров> UEFI Параметры> перезапустить, чтобы внести изменения. Эти параметры иногда содержатся во в подменю в UEFI-БИЗАХ с пометкой Advanced(Расширенный), Security(Безопасность) или Trusted Computing (Надежные вычисления). Параметр, позволяющий включить TPM, может называться "Устройство безопасности", "Поддержка устройств безопасности", "Состояние TPM","AMD fTPM","AMD PSP fTPM","Intel PTT"или "Технология intel Platform Trust Technology".

Если вы не знаете, как внести необходимые изменения в параметры TPM, рекомендуем вам обратиться в службу поддержки изготовителя компьютера. Ниже приведены ссылки на сведения, которые помогут вам при начать работу с некоторыми производителями компьютеров.

Доверенный платформенный модуль (TPM) используется для повышения безопасности компьютера. Он используется такими службами, как шифрование диска BitLocker, Windows Hello и другие, для безопасного создания и хранения криптографических ключей, а также для подтверждения того, что операционная система и встроенное ПО на вашем устройстве соответствуют указанным сведениям и не были изменены.

Как правило, это отдельная микросхема на системной плате, хотя стандарт TPM 2.0 позволяет изготовителям, например Intel или AMD, встраивать возможности доверенного платформенного модуля в набор микросхем.

Доверенный платформенный модуль используется уже более 20 лет и входит в состав компьютеров с 2005 г. В 2016 г. версия TPM 2.0 (текущая версия на момент написания этой статьи) стала стандартом для новых компьютеров.

Когда вы шифруете данные, чтобы защитить их от посторонних глаз, программа для шифрования берет фрагмент данных, который нужно зашифровать, и объединяет его с длинной случайной строкой символов, чтобы создать новый (зашифрованный) фрагмент данных. Длинная случайная строка символов, используемая программой для шифрования, является криптографическим ключом.

Примечание: Незашифрованные данные называются "открытым текстом". Зашифрованная версия этих данных называется "зашифрованным текстом".

Расшифровать такой текст и прочитать исходный фрагмент данных может только пользователь, у кого есть правильный криптографический ключ.

Новые и измененные функции

Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows см. в разделе Что нового в доверенном платформенном модуле?

Описание компонента

создание, сохранение и ограничение использования криптографических ключей;

технологию TPM можно использовать для проверки подлинности устройства с помощью уникального RSA-ключа TPM, записанного в модуль;

обеспечение целостности платформы за счет хранения измерений безопасности.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.

Ключи на основе TPM можно настраивать различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если число неудачных попыток авторизации слишком велико, TPM активирует свою логику защиты от атак перебором по словарю и предотвращает дальнейшие попытки подбора.

Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.

Автоматическая инициализация TPM в Windows

Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM. Мы больше не разрабатываем активно консоль управления доверенного платформенного модуля, начиная с Windows Server 2019 и Windows 10 версии 1809.

В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.

Для чего нужен TPM

TPM генерирует стойкие ключи шифрования, когда это требуется операционной системе, проверяет запускаемые программы и предотвращает взломы конфигурации устройства злоумышленниками (например, посредством заражения «руткитами» или «буткитами» — вредоносными утилитами, проникающими в ПК до окончания загрузки ОС или скрывающими присутствие в системе и потому остающимися нераспознанными в течение длительного времени).

Основные задачи, для чего может применяться модуль TPM:

  • шифрование данных на жёстком диске во избежание несанкционированного доступа к личным файлам;
  • аутентификация пользователя (при входе в профиль компьютера, сети, приложения), включая её выполнение с помощью сканера отпечатков пальцев или функции распознавания лица;
  • защита программного обеспечения от внесения изменений и нарушений лицензионных соглашений;
  • аппаратная защита от вирусов, троянов, бэкдоров, блокировщиков, сетевых червей, шпионов и так далее.

Таким образом, если информация будет незаконно скопирована — в конечном счёте злоумышленник всё равно не сможет получить к ней доступ, даже если украдёт оригинальный модуль TPM с ключами шифрования. TPM распознает изменение системы и не позволит провести расшифровку.

Новое поколение компьютеров на базе Windows 11 — с защищённым ядром

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

С обновлением Windows 11 компания Microsoft планирует поднять планку безопасности операционной системы и аппаратного обеспечения на совершенно беспрецедентный уровень: экосистему усилят на уровне ядра благодаря встраиванию отдельного модуля шифрования непосредственно в центральный процессор. Согласно заявлению, при поддержке крупнейших партнёров Intel, AMD и Qualcomm осенью 2021 года будут выпущены первые компьютеры под управлением Windows 11 с фирменной революционной микросхемой безопасности «Плутон» (Pluton).

Плутон обеспечит комплексную защиту всей инфраструктуры, от устройства до облака, и принесёт множество улучшений безопасности для будущих ПК. Дизайн процессора создан изолированным от остальной системы с учётом автоматического устранения целых классов векторов физических атак, нацеленных на канал связи между ЦП и TPM. Кроме того, Плутон предоставит пользователям Windows 11 уникальную технологию Secure Hardware Cryptography Key (SHACK) — она гарантирует, что ключи никогда не будут открыты никому за пределами защищённого оборудования, даже самой прошивке.

Практическое применение

На компьютерах с TPM можно устанавливать и создавать сертификаты. После настройки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.

Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.

Антивредоносное программное обеспечение может использовать измеренные показатели состояния запуска операционной системы для подтверждения целостности компьютера с Windows 10, Windows 11 или Windows Server 2016. При этом запускается Hyper-V, чтобы убедиться, что центры обработки данных, использующие виртуализацию, не запускают недоверенные низкоуровневые оболочки. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.

В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.

Как проверить поддержку TPM

Способ 1. Запустите «Диспетчер устройств» и найдите в разделе «Устройства безопасности» строчку с названием типа «Доверенный платформенный модуль 2.0». Если нашли, значит у вас есть криптомодуль.

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Способ 2. Запустите через окно «Выполнить» (Windows + R) или командную строку утилиту tpm.msc (наберите команду и нажмите Enter). Откроется «Управление доверенным платформенным модулем на локальном компьютере» — утилита отобразит наличие (или отсутствие) TPM, сведения об изготовителе модуля и текущую версию.

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Способ 3. Запустите командную строку от имени администратора и выполните следующую команду:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы
Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Способ 4. Если вы не можете найти доверенный платформенный модуль на вашем компьютере вышеуказанными методами, возможно, TPM отключен на программном уровне в UEFI/BIOS. Тогда вам потребуется проверка, выполните несколько шагов:

  • Перезагрузите компьютер и войдите в режим UEFI/BIOS.
  • Перейдите на вкладку «Security» или «Advanced».
  • Найдите настройку «TPM Support» или что-то подобное.
  • Нажмите Enter и во всплывающем окне убедитесь, что TPM включен.

Без TPM 2.0 не установить Windows 11. Что он делает и почему так важен для системы

Опции представлены схематично. Возможны отличия от вашего варианта BIOS

Альтернативный вариант: найдите информацию о поддержке TPM на официальном сайте производителя компьютера или материнской платы. У последних она обычно представлена в разделе «Коннекторы» или, может быть, «Поддерживаемые разъёмы».

Читайте также: