Трм модуль для windows 11

Опубликовано в августе 2021 г.

Эта статья предназначена для пользователей, которые не могут выполнить обновление до Windows 11, так как их компьютер в настоящее время не включен с TPM 2.0 или его компьютер поддерживает работу доверенного платформенного модуля 2.0, но не настроен для этого. Если вы не знакомы с этим уровнем технических сведений, рекомендуем обратиться к сведениям о поддержке производителя компьютера для получения дополнительных инструкций, относящихся к вашему устройству.

Большинство компьютеров, отгруженных за последние 5 лет, могут работать с доверенным платформенным модулем версии 2.0 (TPM 2.0). TPM 2.0 требуется для запуска Windows 11 в качестве важного стандартного блока для функций, связанных с безопасностью. TPM 2.0 используется в Windows 11 для ряда функций, включая Windows Hello для защиты идентификации и BitLocker для защиты данных.

В некоторых случаях компьютеры с поддержкой TPM 2.0 не настроены для этого. Если вы планируете выполнить обновление до Windows 11, проверка убедиться, что TPM 2.0 включен на вашем устройстве. Большинство розничных системных плат, используемых пользователями, создающие собственный компьютер, например, поставляются с доверенным платформенный платформенный модуль, отключенный по умолчанию, несмотря на то, что он почти всегда доступен для включения.

Вариант 1. Использование приложения Безопасность Windows

  1. Запуск параметров > обновление & безопасности> Безопасность Windows безопасности > устройств

    1. Если на этом экране не отображается раздел «Процессор безопасности«, на компьютере может быть отключен доверенный платформенный модуль. Дополнительные сведения см. в разделе Включение доверенного платформенного платформенного модуля или проверка сведения о поддержке изготовителя компьютера для получения инструкций. , чтобы включить TPM. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.

    2. Если в разделе Обработчик безопасности отображается параметр Сведения о обработчике безопасности, выберите его и убедитесь, что версия спецификации — 2.0. Если значение меньше 2.0, устройство не соответствует требованиям Windows 11.

Вариант 2. Использование консоли управления (Майкрософт)

  1. Нажмите [Клавиша Windows] + R или выберите Запустить > Выполнить.

  2. Введите «tpm.msc» (не используйте кавычки) и нажмите кнопку ОК.

    1. Если отображается сообщение «Не удается найти совместимый доверенный платформенный модуль», возможно, на вашем компьютере отключен доверенный платформенный модуль. Дополнительные сведения см. в статье Включение доверенного платформенного платформенного модуля или проверка сведения о поддержке изготовителя компьютера для получения инструкций по включению доверенного платформенного модуля. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что он является TPM 2.0.

    2. Если появится сообщение о том, что TPM готов к использованию, проверка версию спецификации в разделе Сведения об изготовителе доверенного платформенного модуля, чтобы убедиться, что версия версии 2.0. Если значение меньше 2,0, ваше устройство не соответствует требованию Windows 11.

Включение доверенного платформенного платформенного модуля

Если необходимо включить TPM, эти параметры управляются с помощью UEFI BIOS (встроенное ПО компьютера) и зависят от устройства. Чтобы получить доступ к этим параметрам, выберите Параметры > Обновить & безопасность > Восстановление > Перезапустить сейчас.

На следующем экране выберите Устранение неполадок > Дополнительные параметры > параметры встроенного ПО UEFI > Перезапустить , чтобы внести изменения. Иногда эти параметры содержатся в подменю в UEFI BIOS с метками Advanced, Security или Trusted Computing. Параметр для включения доверенного платформенного модуля может быть помечен как Устройство безопасности, Поддержка устройств безопасности, Состояние доверенного платформенного модуля, коммутатор AMD fTPM, AMD PSP fTPM, Intel PTT  или Технология intel Platform Trust Technology.

Если вы не знаете, как внести необходимые изменения в параметры доверенного платформенного модуля, рекомендуется проверка сведения о поддержке изготовителя компьютера или обратиться в службу поддержки. Ниже приведены ссылки на сведения от некоторых производителей компьютеров, которые помогут вам приступить к работе:

Asus

Dell

HP

Lenovo

Microsoft Surface

См. также

требования к системе Windows 11

Использование приложения проверки работоспособности компьютера

Защита устройств в Безопасность Windows

Windows 11 и безопасная загрузка

Способы установки Windows 11

Активация Windows

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Источник

После анонса операционной системы Windows 11 многие пользователи начали интересоваться, что такое TPM модуль, который необходим для поддержки этой новой ОС.

В данной статье мы расскажем, что такое TPM 2.0, как проверить его наличие на компьютере, а также как установить и включить TMP модуль в настройках BIOS.

Что такое TPM модуль

TPM или Trusted Platform Module (Доверенный Платформенный Модуль) – это спецификация, которая описывает специальный процессор, предназначенный для безопасного хранения ключей шифрования и защиты информации. Например, в данном чипе могут храниться ключи для шифрования жесткого диска при помощи технологии Bitlocker.

Спецификация может быть реализована в виде отдельного физического процессора или в виде программной эмуляции на базе прошивки BIOS. Программная эмуляция TPM 2.0 присутствует на большинстве современных материнских плат для процессоров Intel и AMD.

TPM модуль

Аппаратные TPM модули для материнских плат разных производителей.

Также многие материнские платы поддерживают установку отдельных физических чипов, которые выглядят как небольшая плата, подключаемая к через специальный разъем. Такие платы с чипами выпускаются производителями материнских плат специально под свое оборудование и не являются универсальными. Поэтому при покупке отдельного модуля нужно уточнять, подходит ли он к вашей материнской плате.

Как проверить наличие TPM 2.0 для Windows 11

Команда «tpm.msc»

Для того чтобы проверить наличие TPM 2.0 на компьютере можно воспользоваться встроенной программой для работы с TPM, которая доступна на Windows 10. Для этого нужно нажать комбинацию клавиш Win-R и выполнить команду «tpm.msc».

выполнить команду tpm.msc

В результате откроется окно «Управление доверенным платформенным модулем на локальном компьютере». Если на компьютере есть TPM модуль, то здесь будут доступны настройки TPM на локальном компьютере. В центральной части окна будет информация о модуле, а справа кнопки «Подготовить» и «Очистить».

окно Управление доверенным платформенным модулем

В самом низу центрально части окна будет доступен блок «Сведения об изготовителе». Здесь будет указан производитель, версия TPM и версия спецификации. Для работы Windows 11 нужна версия спецификации 2.0.

версия TPM

Если TPM модуль отсутствует или он отключен в BIOS, то данном окне будет отображаться надпись «Не удается найти совместимый доверенных платформенный модуль».

TPM модуль отключен в BIOS

В этом случае нужно открыть настройки BIOS, включить модуль TPM и еще раз выполнить команду «tpm.msc», для того чтобы проверить состояние модуля.

Обработчик безопасности

Еще один способ проверки TPM это окно «Сведения об обработчике безопасности». Чтобы воспользоваться этим способом откройте меню «Пуск», введите в поиск слово «tpm» и выберите «Обработчик безопасности».

Пуск - tpm - Обработчик безопасности

После этого появится окно с информацией о TPM. Здесь доступны те же данные, что и в окне «tpm.msc».

окно Сведения об обработчике безопасности

В частности, здесь указана версия спецификации TPM.

Больше информации в статьях:

  • Как узнать есть ли модуль TPM 2.0 на компьютере;
  • Как установить Windows 11 без TPM 2.0;
  • Что такое AMD fTPM.

Как включить TPM 2.0 в BIOS

В большинстве современных материнских плат от Intel и AMD есть программная реализация TPM, которую можно включить в BIOS. Для этого нужно зайти в настройки BIOS, найти там соответствующую функцию и включите ее. Програмная реализация обычно называется:

  • AMD fTPM (Firmware-based Trusted Platform Module) – на платах для AMD;
  • Intel PTT (Platform Trust Technology) – на платах для Intel.

Как включить Intel PTT

Для примера рассмотрим материнкую плату GIGABYTE AORUS для процессоров Intel. Здесь нужно перейти режим «Advanced Mode (F2)».

режим Advanced Mode (F2)

Потом открыть раздел «Settings – Miscellaneous».

раздел Settings – Miscellaneous

И включить функцию «Intel Platform Trust Technology (PTT)».

функция Intel Platform Trust Technology (PTT)

Как включить AMD fTPM

Другой пример – материнская плата ASUS для AMD. Здесь для включения TPM 2.0 нужно перейти в раздел «Advanced Mode (F7)».

раздел Advanced Mode (F7)

А потом перейти в раздел «Дополнительно – AMD fTPM configuration».

раздел Дополнительно – AMD fTPM configuration

Здесь нужно включить опцию «AMD fTPM swich».

опция AMD fTPM swich

После включения Intel PPT или AMD fTPM загрузитесь в Windows 10 и выполните команду «tpm.msc». Если все было сделано правильно, то в окне окно «Управление доверенным платформенным модулем» должны появиться настройки.

Подробно о включении TPM 2.0 на:

  • MSI;
  • ASUS;
  • GIGABYTE;
  • ASRock.

Как установить TPM модуль

Если ваша материнская плата поддерживает отдельный TPM модуль, то вы можете приобрести его, установить на материнскую плату и включить в настройках BIOS. Ниже мы покажем, как это делается на примере материнской платы от ASUS.

TPM модуль

Для начала нужно установить сам TPM модуль на материнскую плату. Для установки используется специальный разъем, который должен быть предусмотрен на материнской плате.

TPM модуль на материнской плате

После установки TPM модуля нужно включить компьютер и войти в BIOS. В случае материнской платы от ASUS нужно перейти в режим «Advanced Mode (F7)» и открыть раздел «Advanced – Trusted Computing».

раздел Advanced – Trusted Computing

Дальше нужно включить слудующие функции и сохранить настройки BIOS:

  • Security Device Support;
  • TPM State.

функции Security Device Support и TPM State

После установки и включения TPM модуля загрузитесь в Windows 10 и выполните команду «tpm.msc». Если модуль заработал, то в окне окно «Управление доверенным платформенным модулем» должны отобразиться настройки.

Возможно вам будет интересно:

  • Что такое Secure Boot для Windows 11

Посмотрите также:

  • Как проверить совместимость компьютера с Windows 11
  • Как включить TPM 2.0 в BIOS
  • Программа для проверки совместимости с Windows 11
  • AMD CPU fTPM Switch: что это в BIOS
  • TPM 2.0: как узнать если ли он на компьютере
Источник

Наличие в Windows 11 ТРМ 2.0 — обязательное требование для установки системы. Это платформенный модуль, который устанавливается на «материнке» и предназначен для шифрования данных, защиты ПО от изменений, надежного хранения информации пользования и защиты ПК / ноутбука от вирусов на уровне оборудования. Модуль легко проверить, включить или обойти защиту. Ниже рассмотрим, как это делать правильно.

Что такое ТРМ

TPM 2.0 в Windows 11 — компактный чип, который встроен в материнскую плату вашего устройства. Расшифровывается как «Trusted Platform Module», что дословно переводится как «Доверенный платформенный модуль». Необходим для хранения шифровальных ключей персональной / учетной информации и т. д. Имеет персональный ключ подтверждения (ЕК), встраиваемый в оборудование. Компании вправе проверять и подтверждать, что аппаратура соответствует заявленному.

Много вопросов касается назначения устройства, а именно зачем в Windows 11 модуль TPM 2.0, ведь при установке прежней версии в нем не было необходимости. Представители компании объяснили, что в функции элемента входит защита оборудования и ПО от несанкционированного доступа. Устройство можно использовать для биометрического входа, шифрования диска и решения иных задач.

Выделяется несколько причин, зачем на Windows 11 TPM:

  • хранение ключей шифрования для защиты файлов;
  • защита имеющегося ПО;
  • безопасное хранение информации о пользователе;
  • взаимодействие с телеметрией Windows 11;
  • идентификация владельца с помощью разных методов и т. д.

К примеру, шифрование BitLocker позволяет хранить ключи шифрования для защиты файлов. Во время загрузки ПК ключ, который находится в ТРМ, применяется для разблокирования диска. Если злоумышленник достанет диск и вставить его в другой ПК, расшифровать данные и получить к ним доступ без ключей не получится.

Как включить

С учетом того, что наличие такого модуля обязательно, необходимо знать, как включить TPM 2.0 для установки Windows 11.

Сделайте следующие шаги:

  • Войдите в «Параметры» через пуск или кликните Win+I.
  • Зайдите в «Центр обновления Windows».
  • Кликните на «Дополнительные параметры» и «Восстановление».

  • В секции «Расширенные параметры запуска» кликните «Перезагрузить сейчас».
  • Кликните «Поиск и устранение неисправностей» после перезапуска.

  • В разделе «Диагностика» жмите на «Дополнительные параметры».

  • Выберите «Параметры встроенного ПО UEFI».

  • Кликните на кнопку «Перезагрузить» и получите доступ к настройкам БИОС.
  • Зайдите во вкладку Advanced (может меняться с учетом производителя).
  • Войдите в раздел Security.
  • Найдите что-то типа TPM Security или PTT, AMD CPU fTPM.

  • Включите параметр.
  • Жмите F10 для сохранения изменений и перезагрузитесь.

Как проверить

Перед тем как установить ОС, необходимо получить информацию о наличии TPM модуля для Windows 11. Для решения задачи можно использовать несколько способов.

Метод №1:

  1. Войдите в «Пуск» и введите tpm.msc, а после «Ввод».
  2. Обратите внимание на сообщение системы.
  3. Если ТРМ есть, появляется раздел управления доверенным доступом, а в нем указана версия установленного модуля — 2.0 или 1.2.

Метод №2:

  1. Войдите в диспетчер устройств.
  2. Найдите в нем раздел «Устройства безопасности». Если этого пункта нет, значит и ТРМ для Windows 11 также отсутствует.
  3. При наличии такого пункта войдите в него и посмотрите версию в конце записи.

Метод №3:

  1. Жмите на Win+R для входа в командную строку.
  2. Вставьте следующую команду — wmic /namespace:\rootcimv2securitymicrosofttpm path win32_tpm get * /format:textvaluelist.xsl.
  3. Обратите внимание на секцию SpecVersion, где указывается необходимая информация по версии TPM.

Метод №4:

  1. Войдите в «Безопасность Windows».
  2. Слева зайдите в «Безопасность устройств».
  3. Кликните на «Обработчик безопасности» и «Сведения об обработчике …»
  4. В секции «Спецификации» в поле «Версия спецификации» должен быть интересующий номер версии TPM.

Метод №5:

  1. Перезапустите ПК и войдите в БИОС, чтобы проверить наличие TPM 2.0 для Windows 11.
  2. Отыщите вкладку «Безопасность», а здесь ТРМ, РТТ, fTPM и т. д.
  3. Посмотрите на версию и сразу включите, если нужно.

Что делать, если не ТПМ

Выше мы рассмотрели, обязателен ли TPM для Windows 11 при установке. Наличие модуля второй версии необходимо. Если же его нет, имеется три пути:

  1. Установить более современную материнскую плату ТРМ 2.0.
  2. Добавить отдельный модуль на уже существующую «материнку» (при наличии такого разъема).
  3. Обойти ограничение одним из доступных способов и поставить Windows 11 при наличии только ТПМ 1.2.

После появления информации, что Windows 11 требует TPM 2.0 в России и других странах, сразу появилось множество способов обхода этого ограничения. Кратко рассмотрим несколько вариантов.

Решение №1 — применение Universal MediaCreationTool:

  • Загрузите программу по ссылке gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15.

  • Скачайте архив, распакуйте его и запустите документ с названием Skip_TPM_Check_on_Dynamic_Update_v1.cmd от имени администратора.
  • Попробуйте установить Windows 11 в обычном режиме.

Решение №2 — удаление файлов оценки для Windows 11:

  1. Сделайте ISO образ для Виндовс 11 через проводник.
  2. Копируйте содержимое в отдельную папку.
  3. Войдите в Sources и удалите документы с названиями appraiser.dll и appraiser.sdb.
  4. Запустите инсталляцию с помощью Setup.exe.
  5. Если не сработало, проверьте C:$WINDOWS.~BTSources на наличие в нем appraiser.dll и appraiser.sdb (от них необходимо избавиться).

Решение №3 — с применением помощника:

  1. Установите помощника по ссылке microsoft.com/ru-ru/software-download/windows11.
  2. Войдите в свойства Windows11InstallationAssistant.exe и поставьте совместимость с «семеркой».
  3. Выполните установку без ТРМ 2.0.

Теперь вы знаете, нужен ли TPM для Windows 11, как проверить его наличие, и можно ли обойтись без этой опции. В комментариях расскажите, пригодились ли приведенные рекомендации, и какие еще секреты могут пригодиться.

Отличного Вам дня!

Источник

Время на прочтение
8 мин

Количество просмотров 32K

Что это за загадочный маленький чип такой, который необходим для Windows 11? Дэриен Грэм-Смит разбирается.

Купи вы сегодня компьютер с Windows ОС, и в нём наверняка будет модуль TPM. Доверенный платформенный модуль – это, по сути, обычный чип, который отвечает за безопасность. Разработала его Trusted Computing Group. Это отраслевая организация с более чем 100 членами, в том числе AMD, Dell, Google, Intel, Lenovo и Microsoft. Вместе они работают над тем, чтобы сделать вычислительные устройства и приложения более защищёнными.

Организация так или иначе функционировала с 1999 года. Первый TPM-стандарт, где в полной мере изложена функциональность модуля, опубликовала в 2009 году (любопытно, что представлен он был в версии 1.2). Разработчики быстро взяли его на вооружение. Случилось это отчасти благодаря тому, что его стала поддерживать Windows Vista. В 2015-м в спецификацию TPM 2.0 добавили несколько функций, а модуль по-прежнему оставался передовой технологией для «доверенных вычислений».

Несмотря на широкое распространение, TPM всегда был необязательным компонентом. Включать ли его в дизайн устройства, решал производитель. Пользователь же в свою очередь решал, включать ли его в настройках BIOS. Однако с выходом Windows 11 расклад поменялся. Microsoft объявила, что будет поддерживать последнюю версию ОС только на тех компьютерах, где установлен и включён TPM 2.0.

Решение оказалось спорным. Для установки Windows 10 не требовался модуль, да и Windows 11 тоже без него обойтись может. Microsoft даже выпустила инструкцию, чтобы пользователи могли обновиться до Windows 11 без TPM (pcpro.link/331tpmhack). Однако в таком случае ваш ПК лишится поддержки и, возможно, не будет получать обновления в будущем.

Так почему же Microsoft решила сделать модуль TPM 2.0 обязательным? Чтобы узнать это, надо разобраться, что такое TPM и как он работает.

Где находится TPM?

Доверенный платформенный модуль изначально задуман как маленький недорогой чип, который был интегрирован в процессор на материнской плате. Когда использование TPM вошло в обиход, производители стали припаивать чип напрямую к плате.

Технический стандарт не требует, чтобы TPM был выполнен в виде физического чипа.  На практике все функции TPM могут выполнять встроенные программы CPU. Собственно, это и происходит с процессорами на Windows 11: ОС поддерживает определённый перечень аппаратного обеспечения от Intel и AMD.

Как работает TPM?

TPM работает как мини-компьютер. Он принимает команды, отвечает на них, а также хранит и выдаёт информацию. Для этого у него имеется встроенная память: по техническому стандарту у модуля должно быть по крайней мере 7 Кб хранилища, однако у новых TPM имеется свыше 100 Кб. Память эта энергонезависима, т. е. сохраняет данные после отключения питания, как и SSD.

Понятно, что для того, чтобы хранить и извлекать данные, можно обойтись жёстким диском. ТPM же отличают условия, на которых предоставляется доступ к информации.

К примеру, если приложение вверяет пароль TPM, то модуль может сделать этот пароль доступным только для того процесса, где он изначально был сохранён. Если же информацию запрашивает другая программа — например, зловред какой-нибудь — TPM откажет в доступе. Поскольку модуль полностью независим от Windows, вредонос, по сути, загнан в угол.

Итак, TPM может как разрешить, так и запретить предоставлять данные. Происходит так потому, что модуль способен оценить состояние аппаратной конфигурации и войти в ПО, запущенное на ПК. Таким образом он определяет, является ли среда знакомой и безопасной, и реагирует соответственно.

Если установить пароль при включении ПК, TPM здесь тоже будет полезен: модуль сверит введённые учётные данные с теми, что хранятся в его памяти. Так злоумышленник не сможет отделаться от процедуры ввода пароля, просто очистив BIOS.

Защита от брут-форса тоже предусмотрена: если ввести неверный пароль несколько раз, придётся подождать некоторое время, прежде чем попытаться снова. Причём время ожидания увеличивается после каждой неудачной попытки. Большое число неудачных попыток приведёт к принудительной отсрочке на сутки. И не пытайтесь поменять дату в BIOS или вынуть батарейку CMOS — у TPM имеются собственные часы.

Это всё очень хорошо: TPM может перекрыть злоумышленникам доступ к системе и не дать зловреду заполучить учётные данные. Но мы пока не рассказали о главной функции TPM.

Криптографическая магия

TPM может хранить данные как в исходном виде, так и в зашифрованном. В последнем случае речь идёт о криптографии с открытым ключом. Такой метод подразумевает наличие пары ключей шифрования, один из которых можно держать в секрете, а другой – в открытом доступе. Зашифровать сообщение может любой, кто владеет общим ключом, а расшифровать тот, у кого имеется секретный ключ. Кроме того, секретный ключ используется, чтобы автоматически генерировать криптографическую хэш-функцию сообщения или файла. Так вы подтвердите использование общего ключа, т. е. то, что он был «подписан» вами и не является подделкой.

Итак, после того, как вы сохраните секретный ключ в TPM, он (ключ) сможет шифровать и расшифровывать файлы, а также создавать подписи. Если же в системе что-то пошло не так или же запрос поступил от неизвестного процесса, TPM просто откажется сотрудничать. Отправлять ключ обратно ключ в ОС нет необходимости, поскольку там его можно отследить. Лучше всего его полностью изолировать, так, чтобы извлечь его было нельзя никаким образом.

Как работает TPM в Windows

Улучшить защиту любого приложения, где есть функция шифрования, можно с помощью TPM. Это надёжнее, чем хранить ключи в системной памяти или на диске. Windows упрощает процесс шифрования за счёт компонента ОС под названием Platform Crypto Provider (Поставщик платформы для шифрования). Компонент предоставляет средства шифрования на базе TPM, а разработчикам не нужно вникать в работу модуля.

Вероятно, самая известная программа для шифрования в Windows —BitLocker. Она шифрует диск целиком, за исключением диспетчера загрузки Windows. Когда вы включаете компьютер, диспетчер запускается в обычном режиме. Увидев, что системный диск зашифрован, программа запрашивает ключ расшифровки у TPM. Модуль, признав в диспетчере загрузки доверенный процесс, предоставляет ключ. Ключ открывает доступ к файлам запуска Windows и другим данным, в результате чего компьютер загружается.

Сама по себе процедура может показаться бессмысленной, поскольку расшифровка и загрузка диска происходят автоматически. Это, однако, означает, что единственный способ получить доступ к ПК – это запустить Windows. Если пытаться получить доступ к диску с помощью другой ОС или другого железа, всё, что вы увидите – это нечитаемые зашифрованные данные. Если же TPM обнаружит изменения в коде диспетчера загрузки или в оборудовании, то откажется предоставить ключ и тем самым не даст зловреду внедриться в код запуска.

В целом, это хорошо, что BitLocker использует модуль, чтобы изолировать свой криптографический ключ. Отсюда возникает вопрос: что будет, если, к примеру, хост-компьютер сломается, и вам нужно перенести жёсткий диск на новую систему. Microsoft всё продумала: если диск зашифрован, BitLocker сгенерирует пароль восстановления из 48 символов. С помощью него можно расшифровать весь диск. По понятным причинам, хранить пароль на самом диске небезопасно. Если речь идёт о корпоративных компьютерах, он будет записан в доменные службы Active Directory. Доступ к нему могут получить только администраторы сети. Пароли обычных пользователей хранятся в аккаунтах Microsoft и находятся через поиск по сайту.

BitLocker доступен только в версиях Pro и Enterprise на 10-й и 11-й Windows. Но это не значит, что пользователи Home версии не могут позволить себе те же функции защиты. Они могут включить функцию под названием Device Encryption. Шифрование здесь работает так же, как в BitLocker: главное отличие в том, что Device Encryption менее придирчив к изменениям в железе и программной среде.

Также TPM помогает улучшить работу других элементов защиты. В Windows Enterprise и Education есть технология под названием Device Guard. Она применяется для запуска приложений в защищённой виртуальной среде. Через неё нельзя получить доступ к системному ПО. Credential Guard, в отличие от Device Guard, хранит секретные данные вроде хэшей паролей и учётных данных в виртуальной машине, к которым процессы, протекающие в обычной ОС, не могут получить доступ.

Кроме того, TPM может понадобиться сетевым службам Windows. Так они удостоверятся, что компьютер, что пытается подключиться к серверу, тот же, что был изначально зарегистрирован. Они же проверяют, использует ли ПК BitLocker и другие средства защиты. Так обеспечивается гарантия безопасности на каждый день, а также удалённая поддержка и администрирование.

Что нового в TPM 2.0?

Windows 11 требуется не просто любой модуль TPM, ей нужна именно версия 2.0. Однако разница между спецификациями не велика. Всё описанное раннее может делать и оригинальный стандарт 1.2.

Ко времени выхода TPM 2.0 технологии значительно модернизировались. Изначально в спецификации модуля использовался популярный в то время метод шифрования RSA. Новая же версия также поддерживает более сильную криптографию на основе эллиптических кривых. Кроме того, он генерирует 256-битные хэши SHA-2. Взломать их сложнее, чем 160-битные SHA-1, которые стандарт TPM поддерживал изначально. Понятно, что Microsoft хотела стандартизовать самую безопасную версию TPM.

Возможно, ещё одна причина, почему Microsoft настаивает именно на второй версии модуля, заключается в том, что модуль работает с BIOS UEFI. Именно этот интерфейс компания рекомендовала долгое время в качестве лучшего выбора для Windows. Помимо того, что UEFI позволяет интегрировать некоторые функции BIOS в Windows, интерфейс также поддерживает защищённую загрузку. Это означает, что ОС не загрузится, если хэши не совпадают. А это в свою очередь гарантирует, что, если какой-нибудь руткит вмешивается в процесс запуска Windows, ОС не загрузится, и вы поймёте, что что-то идёт не так.

Проблемы с TPM

Огромное число пользователей жалуется на то, что требования к железу для Windows 11 излишни: для повседневных задач старый компьютер вполне сгодится для новой ОС. Однако есть те, кто не согласен с самой идеей TPM. Они утверждают, что модуль создаёт ложное чувство безопасности.

Важно понимать, что модуль не защитит от всех типов атак. Они бессилен против кейлоггеров — ПО, следящим за тем, какие клавиши вы нажимаете, когда вводите пароль на клавиатуре. Или от фишинговых писем, адресат которых предлагает ввести учётные данные на мошенническом веб-сайте. Может быть, поэтому Apple не присоединилась к Trusted Computing Group. Вместо этого компания разработала свой чип безопасности T2. Он следит не только за сохранностью ваших идентификационных данных, вроде отпечатка пальцев или пароля, но и контролирует микрофон, камеру и другое оборудование.

Беспокойство также вызывает вероятность того, что модуль может запретить пользователю делать то, что хочется на своём компьютере. К примеру, ОС с помощью TPM может удалённо проверить, действительно ли приложение разработал тот или иной издатель, и отказать в доступе, если оно не соответствует заявленной подписи. Хуже того, доступ к приложению может быть закрыт в любой момент– например, когда разработчик останавливает его поддержку или прекращает продажи.

Такие опасения высказывались в первые годы существования концепции доверенных вычислений. СМИ именовали модуль DRM-чипом, а Ричард Столлман, основатель движения свободного ПО, высмеивал TPM, однажды в шутку назвав его «вероломные вычисления». Сегодня о проблемах подобного рода почти не говорят. Теперь стало понятно, что, по всей вероятности, такие ограничения нужно реализовывать через облачные подписки на ПО, а не с помощью TPM.

Однако здесь не место вступать в эту дискуссию. Одно можно сказать наверняка: несмотря на то, что рост популярности TPM привёл к тому, что требования к безопасности ужесточились, мы не стали жить как при Большом Брате, как многие того боялись. Да, неприятно видеть, как Microsoft лишает огромное число компьютеров последней ОС. Но за стремление корпорации создать новый базовый уровень безопасности и за желание, чтобы грядущее поколение ПК было максимально защищённым, разносить в пух и прах компанию мы всё-таки не станем.

Источник

Постараюсь коротко объяснить что это такое, зачем он нужен, какие преимущества он даёт и зачем Microsoft в принципе решили начать его требовать.

Что такое вообще TPM? Если коротко, то изначально TPM это специальный выделенный чип на материнской плате ноутбука или ПК. Его предназначение это хранение и работа с криптографическим материалом.

Если упростить, то типичный криптомодуль, которым является TPM, может делать всего несколько операций:

  • Генерировать и хранить секретные ключи
  • Шифровать и расшифровывать любые данные
  • Подписывать и верифицировать запросы на электронную подпись

Отсюда следует, что подобные криптомодули не могут физически выдать вам секретный ключ или ключи.

Тут-то мы и получаем основное преимущество. Обычно все секретные ключи хранятся непосредственно в файловой системе вашего ПК, где-то на диске C:\, а в случае с TPM они генерируются и хранятся исключительно внутри него.

Отсюда следует простой вывод: любой софт, исполняемый с правами администратора может при желании украсть любые ключики с вашего ПК, о существовании, которых вы даже не подозреваете.

При использовании TPM такой трюк не пройдет. Что-то расшифровать, подписать — пожалуйста, но сам ключ не отдаст.

Возможно кто-то из вас по работе встречался с красными «флешками» Рутокен. Это и есть типичный криптомодуль, правда переносной. Он обладает теми же качествами, что я перечислил выше.

Внимательный читатель может задаться вопросом: а зачем злоумышленику тогда сам секретный ключ, если он сможет просто просить модуль расшифровать или подписать что ему нужно?

Причин по сути две:

  • Обладание ключом позволит производить операции с ним, даже когда ваш компьютер выключен или не подключен к интернету. Украл ключ, отправил куда надо и можно забыть о жертве, она уже в кармане.
  • Современные TPM при запросе на операцию расшифровывания или подписи обычно требуют действие от пользователя. В Windows для этого предусмотрена технология Windows Hello. Таким образом как только какое-то приложение хочет к примеру расшифровать (или подписать) вашим ключом какое-то сообщение, Windows сначала запросит PIN, пароль или биометрическую информацию (отпечаток пальца или скан лица). Прошу заметить, что описанная защита реализована аппаратно на уровне TPM и её нельзя обойти на софтверном уровне.

Примеры использования

Хорошо, а на практике зачем этот TPM нужен? Жили без него раньше и не тужили.

Давайте приведу очевидный пример использования криптомодуля в современной технике. За пример я возьму современный смартфон, потому что практически во всех современных смартфонах есть выделенный для этого чип.

Все мы скорее всего, так или иначе пользуемся онлайн-банкингом и думаю все имели дело с биометрической авторизацией при входе в приложение.

Объясню на пальцах как работает механизм входа:

  1. Приложение делает запрос на сервер и просит прислать сервер случайную строку.
  2. Телефон делает запрос в криптомодуль с просьбой подписать электронной подписью эту случайную строку.
  3. Криптомодуль отвечает, что без биометрической авторизации никакой подписи не будет.
  4. Пользователь прикладывает палец / показывает лицо и в случае успеха криптомодуль возвращает готовую подпись.
  5. Приложение делает повторный запрос на сервер и прикладывает подпись.
  6. Сервер верифицирует, что подпись выписана именно вашим криптомодулем (который был зарегистрирован у них на сервере во время регистрации в приложении).

Как можно увидеть, приложение всё это время не имеет ни малейшего понятия о секретном ключе, хранимом внутри чипа. Безопасно? Безопасно. Кстати напомню, в Windows 11 можно будет запускать Android-приложения, которые скорее всего смогут также как и на смартфонах пользоваться TPM.

Второй пример: BitLocker. Эта технология позволяет полностью зашифровать системный раздел, при этом учитывая аппаратное ускорение AES-шифрования в современных процессорах и быстрые SSD диски, производительность в таких системах практически не падает. На многих современных ноутбуках с предустановленной Windows 10, BitLocker включен по умолчанию.

Как можно понять ключ для расшифровки хранится не в ФС вашего ПК, а опять же в TPM. Безопасно? Безопасно. Можно даже попросить BitLocker запрашивать PIN или пароль ещё до запуска операционной системы.

Третий пример: passwordless authentication или по-русски беспарольная аутентификация. То есть вход на необходимые ресурсы без пароля. В качестве механизма верификации, что вы это вы, используется механизм, похожий на описанный в первом примере с онлайн-банкингом.

WebAuthn позволит вам регистрироваться и входить на сайтах исключительно с помощью логина

На данный момент уже все браузеры поддерживают WebAuthn API для работы со стандартом FIDO2. Этот API позволит вам регистрироваться и входить на сайтах исключительно с помощью логина и секретных ключей, которые хранятся в TPM или на специальном аппаратном токене (как правило в виде USB-флешки). Разумеется не помешает поставить на учетную запись и классический пароль, но согласитесь, вход исключительно с помощью логина звучит весьма заманчиво? А самое интересное, что при использовании криптомодуля такой механизм авторизации куда безопасней любого пароля.

Проверить как работает технология WebAuthn можно прямо сейчас на демосайте. Для работы требуется настроенный Windows Hello с биометрией.

Кстати, современные ноутбуки сейчас вовсю оснащаются Windows Hello, а именно камерами с поддержкой распознавания лица и дактилоскопическими сканерами. Поэтому приход WebAuthn пришелся как раз кстати.

Требование TPM в новой версии Windows выглядит последовательным шагом со стороны Microsoft. Ведь они требуют TPM 2.0 на борту любой машины, на которую предустанавливается Windows 10 аж с июля 2016 года. По большому счету это касается всех ноутбуков, моноблоков и ПК с Windows 10 из коробки, которые были произведены позже этой даты. Спустя 5 лет релиз новой ОС выглядит как идеальный момент для этого изменения.

Остальным пользователям в большинстве случаев понадобится просто включить fTPM (Firmware TPM или Intel PTT). Это TPM, который эмулируется вашим процессором AMD или Intel. То есть ключи будут хранится не в специальном чипе, а где-то внутри микросхемы UEFI. И да, это всё ещё намного безопасней, чем где-то в файловой системе.

Поэтому отставить панику. Если ваш компьютер 2012-2013 года выпуска и позже, то с очень высокой вероятностью у вас всё в порядке и максимум потребуется пара манипуляций в BIOS в вашей материнской платы.

Надеюсь было интересно, спрашивайте вопросы, поправляйте, если где приврал или опечатался.

Источник

  • У вас недостаточно прав для удаления обратитесь к системному администратору windows 10
  • У меня windows 7 как перейти на windows 10
  • Триггеры планировщика задач windows 10
  • У вас лимитный тарифный план windows 10
  • У кого самая лучшая сборка windows 7