Технология доверия платформы Intel, что это такое в биосе

Обновлено: 21.11.2024

Недавнее объявление о выпуске Windows 11 вызвало много путаницы из-за требования наличия модуля доверенной платформы (TPM). В этой статье объясняется, почему на вашем компьютере почти наверняка установлен доверенный платформенный модуль, как проверить статус доверенного платформенного модуля и как включить доверенный платформенный модуль, поставляемый с вашим процессором.

Почему на вашем компьютере (почти наверняка) есть модуль TPM

Требование Windows 10 TPM для OEM-производителей

Если вы приобрели компьютер с Windows 10 в течение последних пяти лет, он имеет доверенный платформенный модуль: все новые или обновленные устройства должны поставляться с включенным доверенным платформенным модулем 2.0 по состоянию на 28 июля 2016 г., как указано в минимальных требованиях к оборудованию для Windows 10. . Это относится ко всем настольным версиям Windows 10 (Домашняя, Профессиональная, Корпоративная и Образовательная).

TPM на базе ЦП: Intel PTT и AMD fTPM

Если у вас есть ПК, изготовленный по индивидуальному заказу, или машина, которая была продана без Windows 10, велика вероятность, что ваш ЦП имеет встроенный модуль TPM. Со времен Skylake (6-го поколения) почти все процессоры Intel имеют встроенный модуль TPM 2.0, который Intel называет технологией Platform Trust (PTT). ЦП AMD имеют встроенный TPM 2.0, называемый fTPM, начиная с платформы AM4 (2016 г.).

Проверьте состояние TPM вашего компьютера

Существует множество способов проверить, есть ли на вашем компьютере включенный TPM.

Приложение "Настройки"

Откройте приложение Settings UWP на вкладке Безопасность устройства, открыв URI windowsdefender://devicesecurity . Если TPM включен, вы увидите ссылку на страницу сведений о процессоре безопасности, которая для Intel PTT выглядит следующим образом:

Консоль управления (MMC)

Откройте оснастку Windows MMC tpm.msc . Если на вашем компьютере включен TPM, он должен выглядеть примерно так:

С другой стороны, если TPM отключен, MMC выглядит следующим образом:

Инструмент командной строки

Инструмент командной строки Windows tpmtool показывает подробную информацию о состоянии при вызове с параметром getdeviceinformation . Для этого не требуются повышенные разрешения. Вот вывод машины с Intel PTT:

PowerShell

Командлет PowerShell Get-Tpm необходимо запускать с повышенными привилегиями. Его вывод выглядит следующим образом для Intel PTT:

Как видно выше, версия TPM (1.2 или 2.0) недоступна через командлет Get-Tpm.

К классу WMI Win32_Tpm необходимо обращаться с повышенными привилегиями. В PowerShell для Intel PTT это выглядит следующим образом:

Обратите внимание на формат поля SpecVersion: основная версия спецификации, дополнительная версия спецификации, редакция спецификации. Если вы ищете версию TPM, вас, вероятно, интересует только основная версия (2.0 или 1.2).

uberAgent (инвентаризация статуса TPM)

Как предприятию, вам необходима инвентаризация статуса TPM ваших устройств. Взгляните на это практическое руководство по uberAgent, в котором объясняется, как собирать обычный статус TPM с любого количества конечных точек. Результаты сохраняются в Splunk для удобного анализа и составления отчетов:

Включить fTPM/PTT процессора

Чтобы включить загрузку встроенного TPM вашего процессора в настройки UEFI (то, что раньше было настройкой BIOS), локализуйте параметр, часто называемый просто fTPM (процессоры AMD) или PTT (процессоры Intel), и включите его.

Предупреждения

  • На некоторых материнских платах может отсутствовать этот параметр BIOS для включения TPM ЦП. В этом случае единственная надежда — обновление BIOS.
  • TPM 2.0 поддерживается только в режиме UEFI, но не в устаревшем режиме BIOS. Переключение из режима BIOS в режим UEFI может помешать загрузке установленной ОС.

Дополнительная информация о TPM

Что такое TPM?

TPM может вычислять случайные числа, ключи RSA, расшифровывать короткие данные и сохранять хэши, полученные при загрузке устройства. Доверенный платформенный модуль включает в себя один компонент:

TPM 1.2 и TPM 2.0

Новый стандарт TPM 2.0 предлагает преимущества безопасности по сравнению с TPM 1.2, который ограничен алгоритмами хеширования RSA и SHA-1.

Части TPM 1.2 доступны только в виде дискретных кремниевых компонентов (dTPM), тогда как TPM 2.0 также можно интегрировать в виде компонентов на основе встроенного ПО (fTPM), например, в ЦП.

Инициализация TPM

Начиная с Windows 10 ОС автоматически инициализирует доверенный платформенный модуль. Это отличие от более ранних версий Windows, в которых вы должны были инициализировать доверенный платформенный модуль и создать пароль владельца.

Функции Windows, для которых требуется TPM

Для следующих функций Windows требуется поддержка TPM (источник):

< /таблица>

Об авторе

Хельге Кляйн (бывшая CTP, MVP и vExpert) работала консультантом и разработчиком, прежде чем основала компанию uberAgent. Хельге применил свои обширные знания в проектах по ИТ-инфраструктуре и разработал продукт для управления профилями пользователей, преемник которого теперь доступен как Citrix Profile Management. Хельге является автором популярных инструментов Delprof2 и SetACL. Он выступал на Citrix Synergy, BriForum, E2EVC, Splunk.conf и многих других мероприятиях. Хельге очень активна в ИТ-сообществе и является соучредителем сообщества виртуализации NRW (VCNRW).

11 комментариев

В статье говорится, что с тех пор все чипы Intel имеют PTT, но на самом деле ни один из процессоров Intel серии K не имеет этого до 8-го поколения. Только не K-варианты 6-го и 7-го поколения имеют PTT
Вы можете проверить это через Интел АРК.
В связи с тем, что большинство самодельщиков используют процессоры серии K, это очень важно.

Сэр, возможно, вы сравниваете технологию доверенного исполнения с ptt. Я включил ptt в 6700k на плате msi z170, возможно, примерно в 2019 году, для моего собственного исследования битлокера.
Но MS может ограничивать процессор из-за технологии txt, и это вполне возможно. Тем не менее, пока у меня для работы стоит tpm 2.0, я поменяю железо до 2025 года.

Никто не упоминает, что дискретный TPM является наиболее безопасным и является аппаратным решением, в отличие от других, которые являются программными решениями и менее безопасны.

Есть ли источники для этого утверждения?

Если он встроен в чип ЦП, значит, он также аппаратный.

Не совсем так, ptt на базе процессора — это просто эмулятор, поэтому ОС может думать, что в системе установлен tpm 2.0

На самом чипе есть микросхема для хранения ключей и данных сертификата, а программное обеспечение, отличное от ОС, не может достичь жесткого tpm, в то время как уязвимость памяти процессора и высочайшее мастерство эмулируемого оборудования хорошо известны.

Этот URL просто открывает страницу поиска Bing.

Хорошая статья и объяснение TPM. Название может немного вводить в заблуждение, поскольку существует *много* систем без TPM или PPI.

Те, кто играет или выполняет другую интенсивную работу, довольно регулярно обновляют свое оборудование, но те, кто просто просматривает веб-страницы, электронную почту, смотрит YouTube и время от времени использует офисные приложения, прекрасно уживаются на старом оборудовании. Моя жена использует систему i3 gen 1 и не жалуется. Я несколько раз предлагал ей обновить ее на что-то поновее, она говорит, что и так все в порядке. Другие родственники без проблем используют системы 3-го и 4-го поколения. Эти старые системы отлично обслуживают Win 10 для обычных пользователей (если у них есть 8 ГБ памяти, еще лучше, если у них есть SSD). Когда придет время, когда они должны будут обновиться, я помогу им получить бывшие в употреблении корпоративные системы малого форм-фактора, которые относительно недороги. За эти годы я купил несколько подержанных корпоративных машин, и мне повезло.

СПАСИБО. Я читал статьи о TPM и пытался понять, почему на моей игровой машине меньше года не было TPM! — ПТТ! Нашел. Спасибо, что опубликовали это и помогли людям, которые пытаются в этом разобраться!

Эта статья предназначена для пользователей, которые не могут выполнить обновление до Windows 11, поскольку на их ПК в настоящее время не включен TPM 2.0 или их компьютер может работать с TPM 2.0, но не настроен для этого. Если вы не знакомы с таким уровнем технических деталей, мы рекомендуем вам обратиться к информации поддержки производителя вашего ПК для получения дополнительных инструкций, относящихся к вашему устройству.

Большинство компьютеров, выпущенных за последние 5 лет, могут работать с доверенным платформенным модулем версии 2.0 (TPM 2.0). TPM 2.0 требуется для запуска Windows 11 как важный строительный блок для функций, связанных с безопасностью. TPM 2.0 используется в Windows 11 для ряда функций, включая Windows Hello для защиты личных данных и BitLocker для защиты данных.

В некоторых случаях компьютеры, поддерживающие TPM 2.0, не настроены для этого. Если вы планируете перейти на Windows 11, убедитесь, что на вашем устройстве включен TPM 2.0. Например, большинство материнских плат для розничных ПК, используемых людьми, собирающими свои собственные ПК, поставляются с отключенным TPM по умолчанию, хотя его почти всегда можно включить.

Вариант 1. Используйте приложение для обеспечения безопасности Windows

Выполнить «Настройки» > «Обновление и безопасность» > «Безопасность Windows» > «Безопасность устройства»

Если вы не видите раздел «Процессор безопасности» на этом экране, возможно, на вашем ПК отключен модуль TPM.см. Как включить TPM для получения дополнительной информации или проверьте информацию о поддержке производителя вашего ПК для получения инструкций. чтобы включить доверенный платформенный модуль. Если вы можете включить доверенный платформенный модуль, выполните следующий шаг, чтобы убедиться, что это доверенный платформенный модуль версии 2.0.

Если вы видите параметр «Сведения об процессоре безопасности» в разделе «Процессор безопасности», выберите его и убедитесь, что ваша версия спецификации — 2.0. Если он меньше 2.0, ваше устройство не соответствует требованиям Windows 11.

Вариант 2. Используйте консоль управления Microsoft

Нажмите [клавиша Windows] + R или выберите Пуск > Выполнить.

Введите «tpm.msc» (без кавычек) и нажмите «ОК».

Если вы видите сообщение «Не удается найти совместимый доверенный платформенный модуль», возможно, на вашем компьютере отключен доверенный платформенный модуль. Дополнительные сведения см. в разделе Как включить TPM или обратитесь к информации о поддержке производителя вашего ПК, чтобы получить инструкции по включению TPM. Если вы можете включить доверенный платформенный модуль, выполните следующий шаг, чтобы убедиться, что это доверенный платформенный модуль версии 2.0.

Если вы видите сообщение, подтверждающее, что TPM готов к использованию, проверьте версию спецификации в разделе «Информация о производителе TPM», чтобы убедиться, что это версия 2.0. Если он меньше 2.0, ваше устройство не соответствует требованиям Windows 11.

Как включить TPM

Если вам нужно включить TPM, эти настройки управляются через UEFI BIOS (прошивка ПК) и различаются в зависимости от вашего устройства. Вы можете получить доступ к этим настройкам, выбрав: Настройки > Обновление и безопасность > Восстановление > Перезагрузить сейчас.

На следующем экране выберите «Устранение неполадок» > «Дополнительные параметры» > «Настройки прошивки UEFI» > «Перезагрузить», чтобы внести изменения. Эти параметры иногда содержатся в подменю UEFI BIOS с пометкой Advanced, Security или Trusted Computing. Параметр для включения TPM может быть помечен как Устройство безопасности, Поддержка устройства безопасности, Состояние TPM, Переключатель AMD fTPM, AMD PSP fTPM, Intel PTT или Intel Platform Trust Technology.

Если вы не знаете, как внести необходимые изменения в настройки TPM, мы рекомендуем вам проверить информацию о поддержке производителя вашего ПК или связаться с его организацией поддержки. Ниже приведены ссылки на информацию от некоторых производителей ПК, которая поможет вам начать работу:

Microsoft запуталась в сообщении о системных требованиях для Windows 11, что заставило пользователей поверить в то, что им нужно покупать новые ПК, даже если их устройство, вероятно, поддерживает TPM, но по умолчанию отключено в BIOS. Стоит отметить, что ЦП Intel 8-го поколения, безопасная загрузка и TPM 2.0 являются наиболее обсуждаемыми пользователями новыми требованиями к ОС.

Если ваша система соответствует другим требованиям, Micorsoft все равно не позволит запустить Windows 11 из-за отсутствия чипа Trusted Platform Module на материнской плате, который шифрует данные.

Обновление Windows 11 сообщает, что ПК должен поддерживать TPM 2.0

TPM 2.0 требуется для таких функций, как Windows Hello для защиты личных данных и Bitlocker для защиты данных.

Хотя вы можете обойти требования при установке Windows 11 с помощью ISO вручную, такие неподдерживаемые устройства не получат обновлений безопасности и функций, предупреждает Microsoft.

Вот интересная информация о TPM, которая может вас порадовать:

За последние пять лет большинство ПК поставлялись с возможностью запуска TPM 2.0.

Следующие инструкции могут помочь, если вы не можете выполнить обновление до Windows 11 из-за того, что на ПК не включен модуль TPM 2.0 или ПК может его запустить, но не был настроен.

Способы найти версию TPM на вашем ПК

<р>1. См. Безопасность устройства

Откройте «Настройки» > «Обновление и безопасность» > «Безопасность Windows» > «Безопасность устройства».
Если вы не видите процессор безопасности в разделе, возможно, у вас отключен TPM.

Сведения о процессоре безопасности показывают версию спецификации TPM, она должна быть 2.0. Ваше устройство не соответствует требованиям Windows 11, если версия спецификации TPM ниже 2.0.

Примечание. Security Processor — это модуль защиты доверия, который обеспечивает дополнительное шифрование устройства в соответствии с Windows

II. Используйте консоль управления Microsoft.

    <ли>. Откройте диалоговое окно «Выполнить» и введите tpm.msc.
  1. Это предоставляет отчет о состоянии доверенного платформенного модуля и версию его спецификации. Проверьте консоль TPM MMC, чтобы убедиться, что она показывает «TPM готов к использованию».

Совет 1. Запуск команды get-tpm в Powershell от имени администратора отображает статус «TPMenabeld» на вашем ПК.

Совет 2. Безопасность устройства и инструмент msinfo32.exe сообщают о состоянии безопасной загрузки и режима UEFI BIOS, которые также являются требованиями Windows 11.

Как включить TPM 2.0 для Windows 11 на вашем ПК

Чтобы включить TPM, вам нужно ввести настройки UEFI BIOS, которые могут меняться в зависимости от вашего устройства.

  1. Откройте "Настройки" > "Обновление и безопасность" > "Восстановление" и нажмите "Перезагрузить сейчас".
  2. Чтобы начать вносить эти изменения, на следующем экране выберите «Устранение неполадок» > «Дополнительные параметры» > «Настройки встроенного ПО UEFI» > «Перезагрузить».
    Примечание: указанные выше параметры могли быть доступны в UEFI BIOS под названием «Надежные вычисления» или «Расширенная безопасность».

Важное примечание. Параметр TPM может называться «Устройство безопасности», «Поддержка устройства безопасности», «Переключатель AMD FTPM», «TPM AMD PSP», «Intel PTT» или «Технология Intel Platform Trust».

Если вы используете компьютеры следующих производителей, проверьте соответствующие ссылки поддержки, чтобы включить TPM 2.0 на вашем устройстве

Включить TPM 2.0 в BIOS на материнской плате Gigabyte:

МОЙ ПК — это пользовательская сборка, в которой материнская плата Gigabyte. Я обнаружил, что «Intel Platform Trust Technology (PTT)» — это параметр, необходимый для включения TPM для Windows 11 в BIOS. Вот как вы можете это сделать.

  1. Перезагрузите устройство, продолжая нажимать клавишу Del.
  2. Нажмите PeriPherals >Intel Platform Trust Technology (PTT)

Заключительные слова. С точки зрения непрофессионала, все, что вам нужно сделать, это войти в BIOS, нажав поддерживаемую клавишу, найти параметры TPM, упомянутые в важном примечании, а также включить и сохранить изменения в BIOS.

С момента выпуска Windows 11 корпорация Майкрософт была занята поиском баланса между массой интересных новых функций и новыми предостережениями по безопасности, которые не приветствовались членами сообщества. Теперь для установки Windows 11 на вашем компьютере должен быть доверенный платформенный модуль (TPM 2.0).

Пример компьютера, который не поддерживает TPM

Что такое доверенный платформенный модуль?

TPM – это способ хранения ключей шифрования на аппаратном уровне. Исследователи безопасности во всем мире широко признают, что это хранилище ключей шифрования более безопасно, чем полагаться на программное обеспечение. Это затрудняет взлом ваших данных и доступ к ним вредоносным программам.

Пример слота для чипа TPM на материнской плате

Давайте рассмотрим практический пример, где TPM может пригодиться:

Когда вы нажимаете кнопку питания на ПК, использующем шифрование диска + доверенный платформенный модуль, доверенный платформенный модуль доставляет небольшой уникальный код, называемый криптографическим ключом. Теперь может произойти один из двух сценариев:

  1. Если все в порядке, разблокировка шифрования разрешена, и ваш компьютер нормально загружается.
  2. Если есть проблема с ключом (возможно, кто-то пытался подделать зашифрованный диск (удаленно или нет), ваш компьютер не запустится.

Помимо этого, почтовые клиенты, такие как Thunderbird и Outlook, также используют технологию TPM для обработки зашифрованных или подписанных ключом сообщений. Такие браузеры, как Chrome, Opera и Firefox, также начинают использовать TPM для определенных протоколов, таких как поддержка SSL-сертификатов для веб-сайтов.

В последнее время TPM начинают использовать и другие потребительские технологии, такие как принтеры и аксессуары для умного дома.

Не нужно быть экспертом по безопасности, чтобы понять, что вся индустрия технологий принимает TPM в качестве отраслевого стандарта.

Примечание. Новый чип безопасности T2 от Apple, по сути, представляет собой доверенный платформенный модуль, маркированный в обычном для компании стиле.

Оснащен ли мой компьютер модулем TPM? Могу ли я запустить Windows 11?

Если ваш компьютер был выпущен после 2015 года, велика вероятность того, что он оснащен доверенным платформенным модулем независимо от того, есть ли на нем выделенный чип или нет.

Вам не нужен специальный чип TPM 2.0 для запуска Windows 11, несмотря на очень запутанные системные требования, изначально опубликованные Microsoft.

Как мы смогли подтвердить, почти все современные процессоры AMD и Intel уже соответствуют требованиям Microsoft TPM 2.0, а те, которые не проходят проверку работоспособности ПК, делают это из-за настройки BIOS, которая заставляет TPM на основе встроенного ПО оставаться отключенным. .

TPM и PTT

Итак, как мы уже установили, ваш компьютер может поддерживать TPM, даже если на нем нет выделенного чипа. Это возможно, потому что многие ЦП фактически включают TPM в свою прошивку.

Товарным знаком Intel для этой технологии прошивки является Platform Trust Technology (PTT). Intel начала использовать эту запатентованную технологию, начиная с процессоров 4-го поколения где-то в 2013 году.

С другой стороны, процессоры AMD (особенно итерации Ryzen) включают аналогичную технику встроенного ПО с поддержкой TPM, называемую fTPM.

Если вы посмотрите на более широкую картину, Microsoft вполне разумно подходит к требованиям безопасности в Windows 11. Они могли бы ограничить Windows 11 аппаратными модулями TPM, но это устранило бы огромный кусок текущего потенциального рынка для Windows. 10.

А поскольку доверенный платформенный модуль встроенного ПО разрешен, у вас не должно возникнуть проблем с установкой Windows 11, если ваш процессор не старше 7–8 лет.

Как проверить, поддерживает ли мой компьютер TPM?

Проверить, поддерживает ли ваш компьютер TPM, несложно, так как Microsoft поддерживала средство проверки в каждой последней версии Windows 10.

Следуйте приведенным ниже инструкциям, чтобы узнать, оснащен ли ваш компьютер чипом Trusted Platform Module, и убедитесь, что он уже включен, чтобы Windows 11 могла его использовать:

  1. Нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить». В только что появившемся новом текстовом поле введите «tpm.msc» и нажмите Enter, чтобы открыть инструмент управления доверенным платформенным модулем (TPM). Откройте модуль TPM в любой последней версии Windows.
  2. После того, как вы окажетесь на экране доверенного платформенного модуля (TPM), начните с проверки страницы состояния. Если там указано, что «TPM готов к использованию», а версия спецификации (в разделе «Информация о производителе TPM») указана как 2.0. , вы можете идти. Проверка, поддерживается ли TPM ПК
  3. Примечание. Если в запросе управления доверенным платформенным модулем (TPM) указано, что «Не удается найти совместимый TPM», это может быть одной из двух причин:

    • TPM не поддерживается вашим текущим оборудованием.
    • TPM поддерживается вашим текущим оборудованием, но отключен на системном уровне.

    Примечание. Многие производители материнских плат по умолчанию отключают PTT (Intel) или fTPM (AMD), поэтому если проверка работоспособности ПК не удалась, первым делом нужно перейти к настройкам BIOS и убедиться, что функция Platform Trust на основе встроенного ПО не работает. Технология ВКЛЮЧЕНА.

    Независимо от сценария, применимого к вашей текущей ситуации, существует ряд методов устранения неполадок, которым вы можете следовать, чтобы включить TPM на своем компьютере.

    Читайте также:

Функция Windows Версия TPM
Измеренная загрузка TPM 1.2 или 2.0
Шифрование устройства TPM 2.0
Защитник Windows System Guard TPM 2.0
Аттестация работоспособности устройства TPM 1.2 или 2.0
Виртуальная смарт-карта TPM 1.2 или 2.0
Автопилот TPM 2.0
SecureBIO TPM 2.0
DRTM TPM 2.0