- Windows 11 требует TPM — что это и зачем нужно?
- ЗАЧЕМ WINDOWS 11 НУЖНА ПОДДЕРЖКА TPM?
- КАК ПРОВЕРИТЬ НАЛИЧИЕ TPM 2.0 НА КОМПЬЮТЕРЕ?
- Зачем нужен TPM
- Как выглядит TPM
- Как узнать, есть ли у меня TPM
- Способ 1
- Способ 2
- Способ 3
- 1 Open Trusted Management Module Management
- 2 Регистрация в BIOS или UEFI
- 4 Используйте WMIC в командной строке
Существует несколько способов проверить наличие чипа TPM. Однако вы должны знать, что он должен быть включен на аппаратном уровне, чтобы использоваться программным обеспечением безопасности, таким как Bitllocker.
Windows 11 требует TPM — что это и зачем нужно?
С тех пор как на сайте Microsoft были опубликованы системные требования для Windows 11, пользователи компьютеров по всему миру задают вопросы о технологии TPM (Trusted Platform Module). Дело в том, что эта версия операционной системы может быть установлена только на компьютерах, поддерживающих данную технологию. И не только сама технология, но и последняя спецификация на момент выхода Windows 11 — TMP 2.0.
В буквальном переводе «Trusted Platform Module» — это модуль доверенной платформы. Технология не нова — ее разработка началась в 1999 г. Вкратце, цель TPM — генерировать и хранить криптографические ключи для защиты информации от кражи или несанкционированной модификации.
Модуль доверенной платформы часто реализуется в виде отдельного микрочипа. В персональных компьютерах он может быть встроен в материнскую плату или подключен к ней как внешнее устройство, но не только. Модуль TPM имеет следующую форму: Он устанавливается на материнской плате и имеет порт для его подключения:
Однако задачи криптографического модуля могут также выполняться процессорами, при условии, что они имеют такую функцию. В этом случае можно сказать, что технология TPM реализована программно. Это может быть причиной требований к модели процессора Windows 11 — устройство может полностью соответствовать количеству ядер и тактовой частоте, но не поддерживать определенную функцию. Это похоже на определенные компьютерные игры или специальное программное обеспечение, которое требует определенного набора инструкций для процессора.
ЗАЧЕМ WINDOWS 11 НУЖНА ПОДДЕРЖКА TPM?
Microsoft обосновывает необходимость поддержки компьютером технологии TPM 2.0, как это было всегда, безопасностью пользователя. Ниже перечислены некоторые причины использования модулей:
- Система способна проверить подлинность внешнего устройства, подключенного к компьютеру. Модуль TPM 2.0 хранит уникальный криптографический ключ, принадлежащий устройству. Если он отсутствует, система классифицирует его как несанкционированный или опасный — все остальное не имеет значения. Короче говоря, с этим невозможно справиться.
- Оцените целостность системы. Это почти то же самое, что и с внешними устройствами. Только здесь криптографический ключ генерируется и хранится в TPM каждый раз при запуске системы (или в другой фазе работы). Это позволяет проверить, была ли система загружена с «правильным» программным обеспечением, не изменилось ли оно с момента последней загрузки и т.д.
- Шифруйте данные пользователя, храня ключи в TPM, а не где-то на жестком диске. Например, если вы зашифруете диск с помощью BitLocker, а затем попытаетесь расшифровать его на другом компьютере с помощью подходящего ключа-пароля, это не сработает, поскольку для подтверждения операции необходим диск TPM, сгенерировавший ключ.
С другой стороны, требование о том, что компьютер должен быть оснащен TPM 2.0, не только связано с безопасностью, но и, например, является еще одним шагом к прекращению поддержки устаревшего оборудования, что привело бы к тому, что пользователю пришлось бы покупать новые устройства. Борьба с пиратством программного обеспечения — еще одна причина такого требования Windows 11. Для одних это хорошая новость, для других — нет. Но не стоит полагать, что хакеры не смогут отключить систему или каким-то образом изменить функцию проверки модуля TPM 2.0 на ПК…
КАК ПРОВЕРИТЬ НАЛИЧИЕ TPM 2.0 НА КОМПЬЮТЕРЕ?
Здесь все очень просто:
- Запустите приложение «Выполнить» с помощью комбинации клавиш «Win + R» и введите команду «tpm.msc»:
- Откроется окно «Управление модулем доверенной платформы (TPM) на локальном компьютере», в котором в блоке «Информация о производителе TPM» отображается версия спецификации модуля:
- Если модуль отсутствует или не активирован в настройках BIOS материнской платы, система сообщит нам об этом:
Кстати, приведенный выше снимок экрана был сделан на компьютере с Windows 11. На материнской плате нет ни модуля TPM, ни настроек BIOS для активации функции (проверено), ни программного приложения на процессоре. Однако система может быть установлена без проблем и нормально функционирует.
Существует несколько способов проверить наличие чипа TPM. Однако вы должны знать, что он должен быть включен на аппаратном уровне, чтобы использоваться программным обеспечением безопасности, таким как Bitllocker.
Зачем нужен TPM
Например, модуль может быть полезен для:
- Шифрование жесткого диска (например, в сочетании с Windows Bitlocker).
- Например, в сочетании с Bitlocker (например, в сочетании с Windows Bitlocker). В частности, отпечатки пальцев сканера — устройства безопасности во многих современных моделях ноутбуков — могут храниться в TPM.
- Защита программного обеспечения от изменений, защита от нарушений лицензионного соглашения.
- Аппаратная защита от вирусов, троянов и других компьютерных вредоносных программ.
Вероятно, самым распространенным сценарием использования TPM является шифрование жесткого диска. С помощью этой функции вы можете защитить свои данные от несанкционированного доступа. Если с вашим компьютером возникнут проблемы — кража, потеря, изъятие в ходе расследования — полное шифрование жесткого диска не позволит неавторизованным лицам получить доступ к вашим файлам.
Windows 10 pro и Windows 8 pro поставляются с программой Bitlocker. С его помощью можно включить полное шифрование жесткого диска на компьютере. Именно здесь в игру вступает TPM. Он позволяет создавать и хранить криптографические ключи, необходимые для шифрования. Слот TPM не является частью Windows. Она не зависит от потенциальных уязвимостей в самой операционной системе или в прикладных программах.
Если злоумышленник попытается загрузить компьютер с флэш-накопителя или CD/DVD, сопряжение Bitlocker + TPM предотвратит доступ к диску. Если злоумышленник извлечет жесткий диск из восстановленного компьютера и подключит его к своему компьютеру (что обычно и происходит), Bitlocker + TPM также защитит ваши данные. Любая попытка «обойти» исходную конфигурацию загрузки будет неудачной. (Точнее, вам нужен специальный ключ).
Можно ли использовать полное шифрование жесткого диска без TPM? Да, конечно. Криптомодуль делает этот процесс немного более удобным для пользователя. Если он у вас есть, по крайней мере, у вас есть выбор и вы можете попробовать что-то новое для безопасности вашего компьютера.
Как выглядит TPM
Классический» дискретный TPM представляет собой микропластину, которая подключается к разъему на материнской плате. Разъем (на компьютерном жаргоне называемый «гнездом») обычно имеет маркировку «TPM». Если вы умеете обращаться с отверткой, вы можете найти разъем TPM внутри самого компьютера. Обычно он расположен на краю материнской платы, рядом с разъемами для внешних USB и аудиоразъемов. На этой странице вы можете увидеть, как выглядит модуль шифрования и сам слот TPM на материнской плате ASUS ROG MAXIMUS X APEX. Другой вариант — модуль TPM припаивается непосредственно к материнской плате.
Модуль ASUS TPM-M R2.0.
Функции модуля шифрования могут быть реализованы в программном обеспечении. AMD, например, называет его fTPM (firmware-based TPM). Если в компьютере есть и fTPM, и слот для дискретного модуля шифрования, у пользователя есть выбор между ними в BIOS.
Как узнать, есть ли у меня TPM
«Отпишись и посмотри» — не всегда хороший совет. Если у вас, например, ультрабук, вам, возможно, придется открутить 5-10 крошечных винтов, чтобы добраться до внутренностей, а затем искать нужную микросхему в плотном скоплении мелких компонентов. Вы же не хотите удовлетворить свое любопытство таким образом.
Способ 1
Посмотрите в диспетчере устройств Windows. Если в разделе «Устройства безопасности» вы видите строку типа «Trusted Platform Module 2.0», у вас есть криптомодуль.
Способ 2
Запустите утилиту tpm.msc из командной строки (клавиша Windows + R). (Введите и нажмите Enter). Утилита покажет наличие (или отсутствие) TPM.
Способ 3
Все еще не уверены? Попробуйте открыть командную строку с правами администратора (клавиша Windows + X, соответствующий пункт меню) и запустите команду:
wmic /namespace:\\
oot\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl
Если первые строки возвращают «TRUE», вы являетесь гордым владельцем TPM, в противном случае вы получите сообщение «No instances».
Однако диск можно принудительно отключить в UEFI/BIOS. Чтобы выяснить, так ли это, перезагрузите компьютер, войдите в UEFI/BIOS и найдите в настройках что-то вроде «Конфигурация TPM» или «Чип безопасности» (название меню зависит от вашего компьютера).
Кстати, приведенный выше снимок экрана был сделан на компьютере с Windows 11. На материнской плате нет ни модуля TPM, ни настроек BIOS для активации функции (проверено), ни программного приложения на процессоре. Однако система может быть установлена без проблем и нормально функционирует.
1 Open Trusted Management Module Management
Кстати, скриншот выше был сделан на компьютере с Windows 11. На материнской плате нет модуля TPM, нет настроек BIOS для включения функции (проверено) и нет программного приложения на процессоре. Однако система была установлена без проблем и работает нормально.
Введите tpm.msc в командной строке и нажмите Enter. Модуль доверенного управления начнет управлять модулем доверенного управления.
Если там написано:
На этом компьютере не удалось найти совместимый TPM. Убедитесь, что компьютер имеет TPM 1.2 или выше и что он включен в BIOS.
Введите tpm.msc в командной строке и нажмите Enter. Модуль доверенного управления начнет управлять модулем доверенного управления.
2 Регистрация в BIOS или UEFI
Если там написано:
Перезагрузите компьютер и загрузитесь в BIOS или UEFI. Найдите раздел безопасности и проверьте, есть ли там такая опция, как поддержка TPM, чип безопасности или что-то еще. Включите его и перезагрузите компьютер после сохранения настроек.
4 Используйте WMIC в командной строке
Используйте клавиши Win + X + M, чтобы открыть Диспетчер устройств. Выясните, существует ли узел «Устройства безопасности». Если да, разверните его и введите номер диска в TPM.
В командной строке с расширенными привилегиями выполните команду:
Отображается список пар ключ-значение.
Если результат True, это означает, что TPM включен, в противном случае вы должны увидеть, что «экземпляры недоступны».