Можно ли отключить tpm после установки windows 11

Starting with Windows 10 and Windows 11, TPMs are now immediately initialized and granted ownership by the operating system, making them more secure.

This is in contrast to prior operating systems, in which you would initialize the TPM and generate an owner password before proceeding.

Before you proceed to clear TPM in Windows 11, make sure that you have a backup and recovery solution in place for any data that has been secured or encrypted by it.

Although the TPM must be erased before a new operating system may be installed, the vast majority of TPM functionality will most likely continue to function correctly after the TPM has been cleared.

There are several methods for clearing Windows 11’s TPM chip, and in this post, we’ll teach you how to do it in detail.

Precautions to take before clearing TPM

• If you have any data that is secured or encrypted by the TPM, make sure you have a backup and recovery solution in place.

• Remove the TPM from a device that you do not own, such as a work or school PC, unless you have been specifically ordered to do so by your IT administrator to do so.

• If you have TPM 1.2 with Windows 10, version 1507 or 1511, and you wish to temporarily pause TPM activities, you can turn off the TPM by pressing the Power button. More information may be found in the section titled Turn off the TPM later in this article.

• To clear the TPM, always utilize operating system functionality (such as TPM.msc) rather than third-party software. It is not recommended to clear the TPM straight from the UEFI.

• Because your TPM security hardware is a physical component of your computer, you may want to consult the manuals or instructions that came with your computer, or search the manufacturer’s website, before attempting to clear the TPM security hardware.

How do I clear TPM in Windows 11?

1. Use the Windows Security app

1. Press Windows + S on your keyboard, then type Windows Security and select the most relevant result.
   
2. From the left panel, select the Device security option.
   
3. Under the Security processor section, select Security processor details.
   
4. Click on Security processor troubleshooting.
   
5. Next, click on Clear TPM.
   
6. Lastly tap on the Clear and restart button.
   

In certain cases, you may be asked to confirm your decision to clear the TPM by the UEFI. All you will have to do is press a button while the computer is restarting.

After the PC restarts, your TPM will be automatically prepared for use by Windows 11.

2. Open the TPM MMC

1. Press Windows + S on your keyboard, then type tpm.msc and select the most relevant result.
   
2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.
3. Click on Actions and select Clear TPM.
   

Your computer will automatically restart after the process is done. During the restart, you might be prompted by the UEFI to press a button to confirm that you wish to clear the TPM.

After the PC restarts, your TPM will be automatically prepared for use by Windows 11.

1. Boot your computer and press the F2 key to enter the BIOS setup mode.
2. Locate the Security option on the left side and expand it.
   
3. Click on the TPM option nested under the Security setting, and check the Clear box.
   
4. Reboot your computer and re-enter into the BIOS menu, again by pressing the F2 key.
5. Ensure the Enabled radio button is checked in order to activate the TPM.
   
6. Restart your PC.

After your computer has been restarted, the TPM adjustments will take effect.

How does Windows 11 use TPM?

The Trusted Platform Module (TPM) is a cryptographic module that improves the security and privacy of computer systems.

Basic computer security functions include safeguarding data through encryption and decryption and demonstrating which program is currently operating on a system, to name a few.

TPMs are passive devices that only accept commands and respond to them. When it comes to realizing the full potential of a TPM, the OEM must properly integrate system hardware and firmware with the TPM, allowing it to receive commands from the system and respond to its answers.

The Windows 11 operating system enhances the security of the operating system’s existing security features while also introducing ground-breaking new security features such as Device Guard and Windows Hello for Business.

It integrates hardware-based security into the operating system at a deeper level than prior Windows editions, so boosting platform security while simultaneously increasing usability.

The security features of Windows 11 combined with the benefits of a TPM offer practical security and privacy benefits

Does TPM slow down the computer?

When you boot a computer, TPM examines the state of the machine as well as the state of the computer’s environment to determine if the computer is secure.

Providing that the computer is in a trustworthy state (in other words, has not been tampered with), it will function correctly.

As long as the computer is not in a trustworthy condition, it will not boot, which means that there will be no way to access or extract any data from it.

In order for the TPM to function, it must generate encryption codes. In this case, removing the TPM chip from the computer would prevent the machine from booting since only half of the encryption key is kept on the TPM chip and half on the computer hard drive.

TPM is required by some firmware, such as Microsoft’s BitLocker, and until it is activated in the BIOS menu, it will remain inactive, thus it will have no effect on the computer.

Once engaged, the only difference users may notice is that the operating system’s boot-up procedure is slightly slower than before.

When Windows 11 is installed on hardware that includes a TPM, it delivers remarkably improved security benefits.

Another essential consideration is that you should check to see whether your computer is compatible with Windows 11.

For additional information on how the Trusted Platform Module (TPM) works with Windows 11, see our post on everything you need to know about it.

You may, however, install Windows 11 without the TPM, although we encourage that you do not do so since it provides additional security features.

We hope you managed to clear TPM in Windows 11 using our guide.

Please share your thoughts on Windows 11’s necessary condition to utilize TPM in the comments section below, as well as whether or not you have profited from this requirement thus far.

Starting with Windows 10 and Windows 11, TPMs are now immediately initialized and granted ownership by the operating system, making them more secure.

This is in contrast to prior operating systems, in which you would initialize the TPM and generate an owner password before proceeding.

Before you proceed to clear TPM in Windows 11, make sure that you have a backup and recovery solution in place for any data that has been secured or encrypted by it.

Although the TPM must be erased before a new operating system may be installed, the vast majority of TPM functionality will most likely continue to function correctly after the TPM has been cleared.

There are several methods for clearing Windows 11’s TPM chip, and in this post, we’ll teach you how to do it in detail.

Precautions to take before clearing TPM

• If you have any data that is secured or encrypted by the TPM, make sure you have a backup and recovery solution in place.

• Remove the TPM from a device that you do not own, such as a work or school PC, unless you have been specifically ordered to do so by your IT administrator to do so.

• If you have TPM 1.2 with Windows 10, version 1507 or 1511, and you wish to temporarily pause TPM activities, you can turn off the TPM by pressing the Power button. More information may be found in the section titled Turn off the TPM later in this article.

• To clear the TPM, always utilize operating system functionality (such as TPM.msc) rather than third-party software. It is not recommended to clear the TPM straight from the UEFI.

• Because your TPM security hardware is a physical component of your computer, you may want to consult the manuals or instructions that came with your computer, or search the manufacturer’s website, before attempting to clear the TPM security hardware.

How do I clear TPM in Windows 11?

1. Use the Windows Security app

1. Press Windows + S on your keyboard, then type Windows Security and select the most relevant result.
   
2. From the left panel, select the Device security option.
   
3. Under the Security processor section, select Security processor details.
   
4. Click on Security processor troubleshooting.
   
5. Next, click on Clear TPM.
   
6. Lastly tap on the Clear and restart button.
   

In certain cases, you may be asked to confirm your decision to clear the TPM by the UEFI. All you will have to do is press a button while the computer is restarting.

After the PC restarts, your TPM will be automatically prepared for use by Windows 11.

2. Open the TPM MMC

1. Press Windows + S on your keyboard, then type tpm.msc and select the most relevant result.
   
2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.
3. Click on Actions and select Clear TPM.
   

Your computer will automatically restart after the process is done. During the restart, you might be prompted by the UEFI to press a button to confirm that you wish to clear the TPM.

After the PC restarts, your TPM will be automatically prepared for use by Windows 11.

1. Boot your computer and press the F2 key to enter the BIOS setup mode.
2. Locate the Security option on the left side and expand it.
   
3. Click on the TPM option nested under the Security setting, and check the Clear box.
   
4. Reboot your computer and re-enter into the BIOS menu, again by pressing the F2 key.
5. Ensure the Enabled radio button is checked in order to activate the TPM.
   
6. Restart your PC.

After your computer has been restarted, the TPM adjustments will take effect.

How does Windows 11 use TPM?

The Trusted Platform Module (TPM) is a cryptographic module that improves the security and privacy of computer systems.

Basic computer security functions include safeguarding data through encryption and decryption and demonstrating which program is currently operating on a system, to name a few.

TPMs are passive devices that only accept commands and respond to them. When it comes to realizing the full potential of a TPM, the OEM must properly integrate system hardware and firmware with the TPM, allowing it to receive commands from the system and respond to its answers.

The Windows 11 operating system enhances the security of the operating system’s existing security features while also introducing ground-breaking new security features such as Device Guard and Windows Hello for Business.

It integrates hardware-based security into the operating system at a deeper level than prior Windows editions, so boosting platform security while simultaneously increasing usability.

The security features of Windows 11 combined with the benefits of a TPM offer practical security and privacy benefits

Does TPM slow down the computer?

When you boot a computer, TPM examines the state of the machine as well as the state of the computer’s environment to determine if the computer is secure.

Providing that the computer is in a trustworthy state (in other words, has not been tampered with), it will function correctly.

As long as the computer is not in a trustworthy condition, it will not boot, which means that there will be no way to access or extract any data from it.

In order for the TPM to function, it must generate encryption codes. In this case, removing the TPM chip from the computer would prevent the machine from booting since only half of the encryption key is kept on the TPM chip and half on the computer hard drive.

TPM is required by some firmware, such as Microsoft’s BitLocker, and until it is activated in the BIOS menu, it will remain inactive, thus it will have no effect on the computer.

Once engaged, the only difference users may notice is that the operating system’s boot-up procedure is slightly slower than before.

When Windows 11 is installed on hardware that includes a TPM, it delivers remarkably improved security benefits.

Another essential consideration is that you should check to see whether your computer is compatible with Windows 11.

For additional information on how the Trusted Platform Module (TPM) works with Windows 11, see our post on everything you need to know about it.

You may, however, install Windows 11 without the TPM, although we encourage that you do not do so since it provides additional security features.

We hope you managed to clear TPM in Windows 11 using our guide.

Please share your thoughts on Windows 11’s necessary condition to utilize TPM in the comments section below, as well as whether or not you have profited from this requirement thus far.

Время прочтения
2 мин

Просмотры 29K

Сообщение в утилите Windows 11 PC Health Check, что новая ОС не установится на систему пользователя из-за отсутствия в ней поддержки технологии Trusted Platform Module (TPM) 2.0.

28 июня 2021 года Microsoft объяснила, зачем Windows 11 нужен модуль TPM 2.0. Также компания закрыла доступ к утилите PC Health Check, которая только путала пользователей своим анализом их систем.

Microsoft в своем блоге пояснила, что позиционирует Windows 11 как защищенную и безопасную систему. Поэтому и возникло требование по поддержке и наличию в ПК или ноутбуке пользователя модуля TPM 2.0 при установке новой ОС. Разработчик с помощью этой технологии собирается защищать пользователей от растущего уровня киберпреступности в мире, включая распространение фишинговых рассылок и внедрение программ-вымогателей. Microsoft настаивает, что ПК с TPM и новой ОС помогут обеспечить более высокий уровень защиты от различных атак. Позиция компании — все новые ПК с Windows 11 будут поставляться с TPM 2.0.

Эксперты считают, что Windows 11 будет поставляться без требований TPM для систем специального назначения и в те страны, которые не используют западные технологии шифрования, к примеру, в Китай и Россию.

Примечательно, что вопросы про TPM и поддержку многих процессоров в Windows 11 (AMD (Ryzen 2000 и выше), Intel (Intel Core 8 и выше) и ARM (Qualcomm)) начали серьезно беспокоить пользователей после анонса новой ОС.

Microsoft после презентации Windows 11 сообщила о системных требованиях для компьютеров и ноутбуков, владельцы которых смогут обновиться до новой операционной системы. Для удобства компания выпустила утилиту PC Health Check, которой можно было проверить компьютер на совместимость с Windows 11.

Оказалось, что эта программа показывает иногда непонятные ошибки и выдает в итоге, что система не сможет обновиться, хотя все ее компоненты удовлетворяют минимальным требованиям Microsoft по установке ОС Windows 11. В настоящий момент Microsoft прекратила поддержку этой утилиты и закрыла к ней доступ, чтобы не вводить пользователей в заблуждение. Microsoft пообещала устранить ошибки в утилите и сделать ее более удобной для пользователей в ближайшее время.

25 июня 2021 года Microsoft обновила утилиту Windows 11 PC Health Check. Компания добавила в вывод программы показ причины, из-за которой ПК пользователя не сможет обновиться на новую ОС. В первой версии этого приложения было просто уведомление, что система не удовлетворяет минимальным требованиям и пользователь сможет работать только на Windows 10.

Первая предрелизная сборка Windows 11 build 21996.1 появились в Сети 15 июня.

24 июня Microsoft представила Windows 11.

28 июня 2021 года Microsoft выпустила первую официальную предварительную версию Windows 11 Insider Preview build 22000.51 в рамках программы предварительной оценки Windows.

Компания Microsoft, рассказала об официальном обходном пути для установки Windows 11 без TPM 2.0.

Microsoft рекомендует устанавливать Windows 11 только после того, как проверка ПК на совместимость даст вашей системе пропуск, а для этого потребуется поддержка TPM 2.0и наличие процессора из списка совместимых. Но если ваш компьютер не соответствует критериям, Microsoft определила два способа обойти некоторые из этих жестких проверок — хотя возможно, что вам не будут предлагаться вышедшие обновления для Windows,включая критические обновления безопасности. Предупреждаю, что вы действуйте на свой страх и риск.

Первый способ применим к обновлению Windows 10 до новой версии OC.

Сначала вам нужно убедиться, что у вас есть доверенный платформенный модуль и что он включен. Вы можете легко сделать это, нажав кнопку Windows и набрав «Безопасность устройства». В разделе «Безопасность устройства» нажмите «Обработчик безопасности». Этот обход позволит вам обновиться при наличии TPM 1.2, а не требующегося TPM 2.0. Большинство процессоров, выпущенных за последние 7 лет, должны его поддерживать.

Далее, если на вашем компьютере нет TPM 2.0, но есть TPM 1.2, вам нужно будет использовать редактор реестра Windows 10, чтобы создать запись. Перед тем, как попробовать этот путь, я рекомендую вам сделать полную резервную копию.

Далее нужно запустить regedit, нажав клавиши Windows + R и набрав regedit.msc. Затем вам нужно перейти в HKEY_LOCAL_MACHINE SYSTEM Setup MoSetup и создать новый 32-битный DWORD и назвать его AllowUpgradesWithUnsupportedTPMOrCPU. (Если папки нет, создайте её). После этого установите значение 1 в десятичном формате.

Если вы сделали все это правильно и соответствуете другим требованиям к оборудованию Windows 11, помощник по установке Windows 11 должен теперь пропустить проверку TPM 2.0 при запуске обновления. Вам будет предложено выполнить обновление, сохранив данные, или выполнить чистую установку. Полное обновление сохраняет приложения, настройки и файлы. Чистая установка полностью удалит Windows 10 и заменяет ее на Windows 11.

Доступен и второй метод. Если вы устанавливаете ОС из чистого ISO-образа, Microsoft заявляет, что не будет проверять наличие TPM 2.0. 

Постараюсь коротко объяснить что это такое, зачем он нужен, какие преимущества он даёт и зачем Microsoft в принципе решили начать его требовать.

Что такое вообще TPM? Если коротко, то изначально TPM это специальный выделенный чип на материнской плате ноутбука или ПК. Его предназначение это хранение и работа с криптографическим материалом.

Если упростить, то типичный криптомодуль, которым является TPM, может делать всего несколько операций:

Отсюда следует, что подобные криптомодули не могут физически выдать вам секретный ключ или ключи.

Тут-то мы и получаем основное преимущество. Обычно все секретные ключи хранятся непосредственно в файловой системе вашего ПК, где-то на диске C:, а в случае с TPM они генерируются и хранятся исключительно внутри него.

Отсюда следует простой вывод: любой софт, исполняемый с правами администратора может при желании украсть любые ключики с вашего ПК, о существовании, которых вы даже не подозреваете.

При использовании TPM такой трюк не пройдет. Что-то расшифровать, подписать — пожалуйста, но сам ключ не отдаст.

Возможно кто-то из вас по работе встречался с красными «флешками» Рутокен. Это и есть типичный криптомодуль, правда переносной. Он обладает теми же качествами, что я перечислил выше.

Внимательный читатель может задаться вопросом: а зачем злоумышленику тогда сам секретный ключ, если он сможет просто просить модуль расшифровать или подписать что ему нужно?

Причин по сути две:

Примеры использования

Хорошо, а на практике зачем этот TPM нужен? Жили без него раньше и не тужили.

Давайте приведу очевидный пример использования криптомодуля в современной технике. За пример я возьму современный смартфон, потому что практически во всех современных смартфонах есть выделенный для этого чип.

Все мы скорее всего, так или иначе пользуемся онлайн-банкингом и думаю все имели дело с биометрической авторизацией при входе в приложение.

Объясню на пальцах как работает механизм входа:

Как можно увидеть, приложение всё это время не имеет ни малейшего понятия о секретном ключе, хранимом внутри чипа. Безопасно? Безопасно. Кстати напомню, в Windows 11 можно будет запускать Android-приложения, которые скорее всего смогут также как и на смартфонах пользоваться TPM.

Второй пример: BitLocker. Эта технология позволяет полностью зашифровать системный раздел, при этом учитывая аппаратное ускорение AES-шифрования в современных процессорах и быстрые SSD диски, производительность в таких системах практически не падает. На многих современных ноутбуках с предустановленной Windows 10, BitLocker включен по умолчанию.

Как можно понять ключ для расшифровки хранится не в ФС вашего ПК, а опять же в TPM. Безопасно? Безопасно. Можно даже попросить BitLocker запрашивать PIN или пароль ещё до запуска операционной системы.

Третий пример: passwordless authentication или по-русски беспарольная аутентификация. То есть вход на необходимые ресурсы без пароля. В качестве механизма верификации, что вы это вы, используется механизм, похожий на описанный в первом примере с онлайн-банкингом.

На данный момент уже все браузеры поддерживают WebAuthn API для работы со стандартом FIDO2. Этот API позволит вам регистрироваться и входить на сайтах исключительно с помощью логина и секретных ключей, которые хранятся в TPM или на специальном аппаратном токене (как правило в виде USB-флешки). Разумеется не помешает поставить на учетную запись и классический пароль, но согласитесь, вход исключительно с помощью логина звучит весьма заманчиво? А самое интересное, что при использовании криптомодуля такой механизм авторизации куда безопасней любого пароля.

Проверить как работает технология WebAuthn можно прямо сейчас на демосайте. Для работы требуется настроенный Windows Hello с биометрией.

Кстати, современные ноутбуки сейчас вовсю оснащаются Windows Hello, а именно камерами с поддержкой распознавания лица и дактилоскопическими сканерами. Поэтому приход WebAuthn пришелся как раз кстати.

Требование TPM в новой версии Windows выглядит последовательным шагом со стороны Microsoft. Ведь они требуют TPM 2.0 на борту любой машины, на которую предустанавливается Windows 10 аж с июля 2016 года. По большому счету это касается всех ноутбуков, моноблоков и ПК с Windows 10 из коробки, которые были произведены позже этой даты. Спустя 5 лет релиз новой ОС выглядит как идеальный момент для этого изменения.

Остальным пользователям в большинстве случаев понадобится просто включить fTPM (Firmware TPM или Intel PTT). Это TPM, который эмулируется вашим процессором AMD или Intel. То есть ключи будут хранится не в специальном чипе, а где-то внутри микросхемы UEFI. И да, это всё ещё намного безопасней, чем где-то в файловой системе.

Поэтому отставить панику. Если ваш компьютер 2012-2013 года выпуска и позже, то с очень высокой вероятностью у вас всё в порядке и максимум потребуется пара манипуляций в BIOS в вашей материнской платы.

Надеюсь было интересно, спрашивайте вопросы, поправляйте, если где приврал или опечатался.