Нужен ли tpm для windows 11

Постараюсь коротко объяснить что это такое, зачем он нужен, какие преимущества он даёт и зачем Microsoft в принципе решили начать его требовать.

Что такое вообще TPM? Если коротко, то изначально TPM это специальный выделенный чип на материнской плате ноутбука или ПК. Его предназначение это хранение и работа с криптографическим материалом.

Если упростить, то типичный криптомодуль, которым является TPM, может делать всего несколько операций:

Отсюда следует, что подобные криптомодули не могут физически выдать вам секретный ключ или ключи.

Тут-то мы и получаем основное преимущество. Обычно все секретные ключи хранятся непосредственно в файловой системе вашего ПК, где-то на диске C:, а в случае с TPM они генерируются и хранятся исключительно внутри него.

Отсюда следует простой вывод: любой софт, исполняемый с правами администратора может при желании украсть любые ключики с вашего ПК, о существовании, которых вы даже не подозреваете.

При использовании TPM такой трюк не пройдет. Что-то расшифровать, подписать — пожалуйста, но сам ключ не отдаст.

Возможно кто-то из вас по работе встречался с красными «флешками» Рутокен. Это и есть типичный криптомодуль, правда переносной. Он обладает теми же качествами, что я перечислил выше.

Внимательный читатель может задаться вопросом: а зачем злоумышленику тогда сам секретный ключ, если он сможет просто просить модуль расшифровать или подписать что ему нужно?

Причин по сути две:

Примеры использования

Хорошо, а на практике зачем этот TPM нужен? Жили без него раньше и не тужили.

Давайте приведу очевидный пример использования криптомодуля в современной технике. За пример я возьму современный смартфон, потому что практически во всех современных смартфонах есть выделенный для этого чип.

Все мы скорее всего, так или иначе пользуемся онлайн-банкингом и думаю все имели дело с биометрической авторизацией при входе в приложение.

Объясню на пальцах как работает механизм входа:

Как можно увидеть, приложение всё это время не имеет ни малейшего понятия о секретном ключе, хранимом внутри чипа. Безопасно? Безопасно. Кстати напомню, в Windows 11 можно будет запускать Android-приложения, которые скорее всего смогут также как и на смартфонах пользоваться TPM.

Второй пример: BitLocker. Эта технология позволяет полностью зашифровать системный раздел, при этом учитывая аппаратное ускорение AES-шифрования в современных процессорах и быстрые SSD диски, производительность в таких системах практически не падает. На многих современных ноутбуках с предустановленной Windows 10, BitLocker включен по умолчанию.

Как можно понять ключ для расшифровки хранится не в ФС вашего ПК, а опять же в TPM. Безопасно? Безопасно. Можно даже попросить BitLocker запрашивать PIN или пароль ещё до запуска операционной системы.

Третий пример: passwordless authentication или по-русски беспарольная аутентификация. То есть вход на необходимые ресурсы без пароля. В качестве механизма верификации, что вы это вы, используется механизм, похожий на описанный в первом примере с онлайн-банкингом.

На данный момент уже все браузеры поддерживают WebAuthn API для работы со стандартом FIDO2. Этот API позволит вам регистрироваться и входить на сайтах исключительно с помощью логина и секретных ключей, которые хранятся в TPM или на специальном аппаратном токене (как правило в виде USB-флешки). Разумеется не помешает поставить на учетную запись и классический пароль, но согласитесь, вход исключительно с помощью логина звучит весьма заманчиво? А самое интересное, что при использовании криптомодуля такой механизм авторизации куда безопасней любого пароля.

Проверить как работает технология WebAuthn можно прямо сейчас на демосайте. Для работы требуется настроенный Windows Hello с биометрией.

Кстати, современные ноутбуки сейчас вовсю оснащаются Windows Hello, а именно камерами с поддержкой распознавания лица и дактилоскопическими сканерами. Поэтому приход WebAuthn пришелся как раз кстати.

Требование TPM в новой версии Windows выглядит последовательным шагом со стороны Microsoft. Ведь они требуют TPM 2.0 на борту любой машины, на которую предустанавливается Windows 10 аж с июля 2016 года. По большому счету это касается всех ноутбуков, моноблоков и ПК с Windows 10 из коробки, которые были произведены позже этой даты. Спустя 5 лет релиз новой ОС выглядит как идеальный момент для этого изменения.

Остальным пользователям в большинстве случаев понадобится просто включить fTPM (Firmware TPM или Intel PTT). Это TPM, который эмулируется вашим процессором AMD или Intel. То есть ключи будут хранится не в специальном чипе, а где-то внутри микросхемы UEFI. И да, это всё ещё намного безопасней, чем где-то в файловой системе.

Поэтому отставить панику. Если ваш компьютер 2012-2013 года выпуска и позже, то с очень высокой вероятностью у вас всё в порядке и максимум потребуется пара манипуляций в BIOS в вашей материнской платы.

Надеюсь было интересно, спрашивайте вопросы, поправляйте, если где приврал или опечатался.

Windows 11 официально анонсирована. Минимальные системные требования новой операционной системы уже объявлены: только 64-битный процессор с двумя или более ядрами, не менее 4 ГБ оперативной памяти, видеокарта с поддержкой DirectX 12 Ultimate и накопитель объёмом от 64 ГБ. Среди них также указан загадочный «доверенный платформенный модуль» или TPM, о котором вы, скорее всего, узнали впервые буквально только что. В связи со скорым выпуском Windows 11 (октябрь 2021 года) полностью ввожу в курс изменений: что такое TPM и почему без данной характеристики у вас не получится обновить свой компьютер.

• В тему: Всё о Windows 11 — секреты, инструкции, лайфхаки и полезные статьи

Что такое TPM и как выглядит криптомодуль

«Доверенный платформенный модуль» (TPM, Trusted Platform Module) — аппаратная технология безопасности для компьютеров, разработанная некоммерческой организацией Trusted Computing Group. Архитектура TPM реализована на основе нескольких компонентов: защищённый ввод-вывод, криптографический процессор, энергонезависимая память для хранения ключа подтверждения и энергозависимая память для хранения регистров конфигурации платформы.

TPM является отдельным физическим микрочипом на материнской плате. Он отвечает исключительно за функции, связанные с защитой компьютера, учётных данных и программного обеспечения. Разъём для такого модуля, как правило, имеет специальную маркировку «TPM» в соответствии с требованиями Trusted Computing Group. Каждый TPM обладает собственным уникальным идентификатором, он записан прямо в микросхему и не может подвергаться изменениям.

Для чего нужен TPM

TPM генерирует стойкие ключи шифрования, когда это требуется операционной системе, проверяет запускаемые программы и предотвращает взломы конфигурации устройства злоумышленниками (например, посредством заражения «руткитами» или «буткитами» — вредоносными утилитами, проникающими в ПК до окончания загрузки ОС или скрывающими присутствие в системе и потому остающимися нераспознанными в течение длительного времени).

Основные задачи, для чего может применяться модуль TPM:

• шифрование данных на жёстком диске во избежание несанкционированного доступа к личным файлам;
• аутентификация пользователя (при входе в профиль компьютера, сети, приложения), включая её выполнение с помощью сканера отпечатков пальцев или функции распознавания лица;
• защита программного обеспечения от внесения изменений и нарушений лицензионных соглашений;
• аппаратная защита от вирусов, троянов, бэкдоров, блокировщиков, сетевых червей, шпионов и так далее.

Таким образом, если информация будет незаконно скопирована — в конечном счёте злоумышленник всё равно не сможет получить к ней доступ, даже если украдёт оригинальный модуль TPM с ключами шифрования. TPM распознает изменение системы и не позволит провести расшифровку.

Какая версия TPM требуется для Windows 11

Для установки Windows 11 компьютер должен поддерживать прошивку UEFI (режим BIOS), протокол безопасной загрузки Secure Boot и быть оборудован интегрированным доверенным платформенным модулем версии 2.0 (актуальная версия спецификации TPM, признана в качестве международного открытого стандарта ISO/IEC 11889:2015 в 2015 году). Все будущие устройства под управлением Windows 11 из коробки обязаны реализовывать TPM 2.0 — необходимы присутствие компонента и его активация по умолчанию после первого включения. Требование спецификации TPM 2.0 распространяется и на программную реализацию (firmware-based).

Чтобы проверить, есть ли в вашем компьютере TPM, необязательно разбирать корпус, лезть в его внутренности и выискивать крошечный чип.

Как проверить поддержку TPM

Способ 1. Запустите «Диспетчер устройств» и найдите в разделе «Устройства безопасности» строчку с названием типа «Доверенный платформенный модуль 2.0». Если нашли, значит у вас есть криптомодуль.

Способ 2. Запустите через окно «Выполнить» (Windows + R) или командную строку утилиту tpm.msc (наберите команду и нажмите Enter). Откроется «Управление доверенным платформенным модулем на локальном компьютере» — утилита отобразит наличие (или отсутствие) TPM, сведения об изготовителе модуля и текущую версию.

Способ 3. Запустите командную строку от имени администратора и выполните следующую команду:

wmic /namespace:\rootcimv2securitymicrosofttpm path win32_tpm get * /format:textvaluelist.xsl

Если первые строки результата отображают значение «TRUE», значит вы — владелец компьютера со встроенным модулем TPM. В противном случае команда завершится сообщением «Отсутствуют экземпляры».

Способ 4. Если вы не можете найти доверенный платформенный модуль на вашем компьютере вышеуказанными методами, возможно, TPM отключен на программном уровне в UEFI/BIOS. Тогда вам потребуется проверка, выполните несколько шагов:

• Перезагрузите компьютер и войдите в режим UEFI/BIOS.
• Перейдите на вкладку «Security» или «Advanced».
• Найдите настройку «TPM Support» или что-то подобное.
• Нажмите Enter и во всплывающем окне убедитесь, что TPM включен.

Альтернативный вариант: найдите информацию о поддержке TPM на официальном сайте производителя компьютера или материнской платы. У последних она обычно представлена в разделе «Коннекторы» или, может быть, «Поддерживаемые разъёмы».

Что делать, если в компьютере нет TPM

Ноутбуки с модулем TPM 2.0 выпускаются с 2017 года большинством популярных брендов, в их числе: Microsoft, ASUS, Lenovo, Dell, HP, Acer, MSI и Gigabyte. На рынке персональных компьютеров более оправдано делать TPM опциональной функцией, так как пользователю удобнее докупить модуль при необходимости, чем переплачивать за изначально встроенную технологию, которая может не понадобиться.

Материнские платы с TPM-коннектором выпускают в основном ASUS, Gigabyte, ASRock, MSI и Biostar. Учитывайте, что они могут поставляться с поддержкой разъёма, но без доверенного платформенного модуля. Его необходимо покупать дополнительно в зависимости от чипсета и, конечно, от того же производителя. Цена классического дискретного TPM-модуля начинается приблизительно от 1-1,5 тыс. рублей.

Если компьютер или материнская плата не оснащены физическим чипом TPM 2.0, то существует программная реализация в виде эмуляции возможностей доверенного платформенного модуля. Виртуальная поддержка TPM 2.0 встроена в подавляющую часть процессоров как Intel, так и AMD последних годов выпуска. Подробнее о таком способе использования TPM 2.0 рассказано в отдельной статье. Естественно, в зависимости от ситуации используемый процессор должен поддерживать технологию fTPM (Firmware Trusted Platform Module — AMD) или PPT (Platform Protection Technology — Intel).

Новое поколение компьютеров на базе Windows 11 — с защищённым ядром

С обновлением Windows 11 компания Microsoft планирует поднять планку безопасности операционной системы и аппаратного обеспечения на совершенно беспрецедентный уровень: экосистему усилят на уровне ядра благодаря встраиванию отдельного модуля шифрования непосредственно в центральный процессор. Согласно заявлению, при поддержке крупнейших партнёров Intel, AMD и Qualcomm осенью 2021 года будут выпущены первые компьютеры под управлением Windows 11 с фирменной революционной микросхемой безопасности «Плутон» (Pluton).

Плутон обеспечит комплексную защиту всей инфраструктуры, от устройства до облака, и принесёт множество улучшений безопасности для будущих ПК. Дизайн процессора создан изолированным от остальной системы с учётом автоматического устранения целых классов векторов физических атак, нацеленных на канал связи между ЦП и TPM. Кроме того, Плутон предоставит пользователям Windows 11 уникальную технологию Secure Hardware Cryptography Key (SHACK) — она гарантирует, что ключи никогда не будут открыты никому за пределами защищённого оборудования, даже самой прошивке.

Наличие в Windows 11 ТРМ 2.0 — обязательное требование для установки системы. Это платформенный модуль, который устанавливается на «материнке» и предназначен для шифрования данных, защиты ПО от изменений, надежного хранения информации пользования и защиты ПК / ноутбука от вирусов на уровне оборудования. Модуль легко проверить, включить или обойти защиту. Ниже рассмотрим, как это делать правильно.

Что такое ТРМ

TPM 2.0 в Windows 11 — компактный чип, который встроен в материнскую плату вашего устройства. Расшифровывается как «Trusted Platform Module», что дословно переводится как «Доверенный платформенный модуль». Необходим для хранения шифровальных ключей персональной / учетной информации и т. д. Имеет персональный ключ подтверждения (ЕК), встраиваемый в оборудование. Компании вправе проверять и подтверждать, что аппаратура соответствует заявленному.

Много вопросов касается назначения устройства, а именно зачем в Windows 11 модуль TPM 2.0, ведь при установке прежней версии в нем не было необходимости. Представители компании объяснили, что в функции элемента входит защита оборудования и ПО от несанкционированного доступа. Устройство можно использовать для биометрического входа, шифрования диска и решения иных задач.

Выделяется несколько причин, зачем на Windows 11 TPM:

• хранение ключей шифрования для защиты файлов;
• защита имеющегося ПО;
• безопасное хранение информации о пользователе;
• взаимодействие с телеметрией Windows 11;
• идентификация владельца с помощью разных методов и т. д.

К примеру, шифрование BitLocker позволяет хранить ключи шифрования для защиты файлов. Во время загрузки ПК ключ, который находится в ТРМ, применяется для разблокирования диска. Если злоумышленник достанет диск и вставить его в другой ПК, расшифровать данные и получить к ним доступ без ключей не получится.

Как включить

С учетом того, что наличие такого модуля обязательно, необходимо знать, как включить TPM 2.0 для установки Windows 11.

Сделайте следующие шаги:

• Войдите в «Параметры» через пуск или кликните Win+I.
• Зайдите в «Центр обновления Windows».
• Кликните на «Дополнительные параметры» и «Восстановление».

• В секции «Расширенные параметры запуска» кликните «Перезагрузить сейчас».
• Кликните «Поиск и устранение неисправностей» после перезапуска.

• В разделе «Диагностика» жмите на «Дополнительные параметры».

• Выберите «Параметры встроенного ПО UEFI».

• Кликните на кнопку «Перезагрузить» и получите доступ к настройкам БИОС.
• Зайдите во вкладку Advanced (может меняться с учетом производителя).
• Войдите в раздел Security.
• Найдите что-то типа TPM Security или PTT, AMD CPU fTPM.

• Включите параметр.
• Жмите F10 для сохранения изменений и перезагрузитесь.

Как проверить

Перед тем как установить ОС, необходимо получить информацию о наличии TPM модуля для Windows 11. Для решения задачи можно использовать несколько способов.

Метод №1:

1. Войдите в «Пуск» и введите tpm.msc, а после «Ввод».
2. Обратите внимание на сообщение системы.
3. Если ТРМ есть, появляется раздел управления доверенным доступом, а в нем указана версия установленного модуля — 2.0 или 1.2.

Метод №2:

1. Войдите в диспетчер устройств.
2. Найдите в нем раздел «Устройства безопасности». Если этого пункта нет, значит и ТРМ для Windows 11 также отсутствует.
3. При наличии такого пункта войдите в него и посмотрите версию в конце записи.

Метод №3:

1. Жмите на Win+R для входа в командную строку.
2. Вставьте следующую команду — wmic /namespace:rootcimv2securitymicrosofttpm path win32_tpm get * /format:textvaluelist.xsl.
3. Обратите внимание на секцию SpecVersion, где указывается необходимая информация по версии TPM.

Метод №4:

1. Войдите в «Безопасность Windows».
2. Слева зайдите в «Безопасность устройств».
3. Кликните на «Обработчик безопасности» и «Сведения об обработчике …»
4. В секции «Спецификации» в поле «Версия спецификации» должен быть интересующий номер версии TPM.

Метод №5:

1. Перезапустите ПК и войдите в БИОС, чтобы проверить наличие TPM 2.0 для Windows 11.
2. Отыщите вкладку «Безопасность», а здесь ТРМ, РТТ, fTPM и т. д.
3. Посмотрите на версию и сразу включите, если нужно.

Что делать, если не ТПМ

Выше мы рассмотрели, обязателен ли TPM для Windows 11 при установке. Наличие модуля второй версии необходимо. Если же его нет, имеется три пути:

1. Установить более современную материнскую плату ТРМ 2.0.
2. Добавить отдельный модуль на уже существующую «материнку» (при наличии такого разъема).
3. Обойти ограничение одним из доступных способов и поставить Windows 11 при наличии только ТПМ 1.2.

После появления информации, что Windows 11 требует TPM 2.0 в России и других странах, сразу появилось множество способов обхода этого ограничения. Кратко рассмотрим несколько вариантов.

Решение №1 — применение Universal MediaCreationTool:

• Загрузите программу по ссылке gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15.

• Скачайте архив, распакуйте его и запустите документ с названием Skip_TPM_Check_on_Dynamic_Update_v1.cmd от имени администратора.
• Попробуйте установить Windows 11 в обычном режиме.

Решение №2 — удаление файлов оценки для Windows 11:

1. Сделайте ISO образ для Виндовс 11 через проводник.
2. Копируйте содержимое в отдельную папку.
3. Войдите в Sources и удалите документы с названиями appraiser.dll и appraiser.sdb.
4. Запустите инсталляцию с помощью Setup.exe.
5. Если не сработало, проверьте C:$WINDOWS.~BTSources на наличие в нем appraiser.dll и appraiser.sdb (от них необходимо избавиться).

Решение №3 — с применением помощника:

1. Установите помощника по ссылке microsoft.com/ru-ru/software-download/windows11.
2. Войдите в свойства Windows11InstallationAssistant.exe и поставьте совместимость с «семеркой».
3. Выполните установку без ТРМ 2.0.

Теперь вы знаете, нужен ли TPM для Windows 11, как проверить его наличие, и можно ли обойтись без этой опции. В комментариях расскажите, пригодились ли приведенные рекомендации, и какие еще секреты могут пригодиться.

Отличного Вам дня!

Время прочтения
8 мин

Просмотры 17K

Что это за загадочный маленький чип такой, который необходим для Windows 11? Дэриен Грэм-Смит разбирается.

Купи вы сегодня компьютер с Windows ОС, и в нём наверняка будет модуль TPM. Доверенный платформенный модуль – это, по сути, обычный чип, который отвечает за безопасность. Разработала его Trusted Computing Group. Это отраслевая организация с более чем 100 членами, в том числе AMD, Dell, Google, Intel, Lenovo и Microsoft. Вместе они работают над тем, чтобы сделать вычислительные устройства и приложения более защищёнными.

Организация так или иначе функционировала с 1999 года. Первый TPM-стандарт, где в полной мере изложена функциональность модуля, опубликовала в 2009 году (любопытно, что представлен он был в версии 1.2). Разработчики быстро взяли его на вооружение. Случилось это отчасти благодаря тому, что его стала поддерживать Windows Vista. В 2015-м в спецификацию TPM 2.0 добавили несколько функций, а модуль по-прежнему оставался передовой технологией для «доверенных вычислений».

Несмотря на широкое распространение, TPM всегда был необязательным компонентом. Включать ли его в дизайн устройства, решал производитель. Пользователь же в свою очередь решал, включать ли его в настройках BIOS. Однако с выходом Windows 11 расклад поменялся. Microsoft объявила, что будет поддерживать последнюю версию ОС только на тех компьютерах, где установлен и включён TPM 2.0.

Решение оказалось спорным. Для установки Windows 10 не требовался модуль, да и Windows 11 тоже без него обойтись может. Microsoft даже выпустила инструкцию, чтобы пользователи могли обновиться до Windows 11 без TPM (pcpro.link/331tpmhack). Однако в таком случае ваш ПК лишится поддержки и, возможно, не будет получать обновления в будущем.

Так почему же Microsoft решила сделать модуль TPM 2.0 обязательным? Чтобы узнать это, надо разобраться, что такое TPM и как он работает.

Где находится TPM?

Доверенный платформенный модуль изначально задуман как маленький недорогой чип, который был интегрирован в процессор на материнской плате. Когда использование TPM вошло в обиход, производители стали припаивать чип напрямую к плате.

Технический стандарт не требует, чтобы TPM был выполнен в виде физического чипа.  На практике все функции TPM могут выполнять встроенные программы CPU. Собственно, это и происходит с процессорами на Windows 11: ОС поддерживает определённый перечень аппаратного обеспечения от Intel и AMD.

Как работает TPM?

TPM работает как мини-компьютер. Он принимает команды, отвечает на них, а также хранит и выдаёт информацию. Для этого у него имеется встроенная память: по техническому стандарту у модуля должно быть по крайней мере 7 Кб хранилища, однако у новых TPM имеется свыше 100 Кб. Память эта энергонезависима, т. е. сохраняет данные после отключения питания, как и SSD.

Понятно, что для того, чтобы хранить и извлекать данные, можно обойтись жёстким диском. ТPM же отличают условия, на которых предоставляется доступ к информации.

К примеру, если приложение вверяет пароль TPM, то модуль может сделать этот пароль доступным только для того процесса, где он изначально был сохранён. Если же информацию запрашивает другая программа — например, зловред какой-нибудь — TPM откажет в доступе. Поскольку модуль полностью независим от Windows, вредонос, по сути, загнан в угол.

Итак, TPM может как разрешить, так и запретить предоставлять данные. Происходит так потому, что модуль способен оценить состояние аппаратной конфигурации и войти в ПО, запущенное на ПК. Таким образом он определяет, является ли среда знакомой и безопасной, и реагирует соответственно.

Если установить пароль при включении ПК, TPM здесь тоже будет полезен: модуль сверит введённые учётные данные с теми, что хранятся в его памяти. Так злоумышленник не сможет отделаться от процедуры ввода пароля, просто очистив BIOS.

Защита от брут-форса тоже предусмотрена: если ввести неверный пароль несколько раз, придётся подождать некоторое время, прежде чем попытаться снова. Причём время ожидания увеличивается после каждой неудачной попытки. Большое число неудачных попыток приведёт к принудительной отсрочке на сутки. И не пытайтесь поменять дату в BIOS или вынуть батарейку CMOS — у TPM имеются собственные часы.

Это всё очень хорошо: TPM может перекрыть злоумышленникам доступ к системе и не дать зловреду заполучить учётные данные. Но мы пока не рассказали о главной функции TPM.

Криптографическая магия

TPM может хранить данные как в исходном виде, так и в зашифрованном. В последнем случае речь идёт о криптографии с открытым ключом. Такой метод подразумевает наличие пары ключей шифрования, один из которых можно держать в секрете, а другой – в открытом доступе. Зашифровать сообщение может любой, кто владеет общим ключом, а расшифровать тот, у кого имеется секретный ключ. Кроме того, секретный ключ используется, чтобы автоматически генерировать криптографическую хэш-функцию сообщения или файла. Так вы подтвердите использование общего ключа, т. е. то, что он был «подписан» вами и не является подделкой.

Итак, после того, как вы сохраните секретный ключ в TPM, он (ключ) сможет шифровать и расшифровывать файлы, а также создавать подписи. Если же в системе что-то пошло не так или же запрос поступил от неизвестного процесса, TPM просто откажется сотрудничать. Отправлять ключ обратно ключ в ОС нет необходимости, поскольку там его можно отследить. Лучше всего его полностью изолировать, так, чтобы извлечь его было нельзя никаким образом.

Как работает TPM в Windows

Улучшить защиту любого приложения, где есть функция шифрования, можно с помощью TPM. Это надёжнее, чем хранить ключи в системной памяти или на диске. Windows упрощает процесс шифрования за счёт компонента ОС под названием Platform Crypto Provider (Поставщик платформы для шифрования). Компонент предоставляет средства шифрования на базе TPM, а разработчикам не нужно вникать в работу модуля.

Вероятно, самая известная программа для шифрования в Windows —BitLocker. Она шифрует диск целиком, за исключением диспетчера загрузки Windows. Когда вы включаете компьютер, диспетчер запускается в обычном режиме. Увидев, что системный диск зашифрован, программа запрашивает ключ расшифровки у TPM. Модуль, признав в диспетчере загрузки доверенный процесс, предоставляет ключ. Ключ открывает доступ к файлам запуска Windows и другим данным, в результате чего компьютер загружается.

Сама по себе процедура может показаться бессмысленной, поскольку расшифровка и загрузка диска происходят автоматически. Это, однако, означает, что единственный способ получить доступ к ПК – это запустить Windows. Если пытаться получить доступ к диску с помощью другой ОС или другого железа, всё, что вы увидите – это нечитаемые зашифрованные данные. Если же TPM обнаружит изменения в коде диспетчера загрузки или в оборудовании, то откажется предоставить ключ и тем самым не даст зловреду внедриться в код запуска.

В целом, это хорошо, что BitLocker использует модуль, чтобы изолировать свой криптографический ключ. Отсюда возникает вопрос: что будет, если, к примеру, хост-компьютер сломается, и вам нужно перенести жёсткий диск на новую систему. Microsoft всё продумала: если диск зашифрован, BitLocker сгенерирует пароль восстановления из 48 символов. С помощью него можно расшифровать весь диск. По понятным причинам, хранить пароль на самом диске небезопасно. Если речь идёт о корпоративных компьютерах, он будет записан в доменные службы Active Directory. Доступ к нему могут получить только администраторы сети. Пароли обычных пользователей хранятся в аккаунтах Microsoft и находятся через поиск по сайту.

BitLocker доступен только в версиях Pro и Enterprise на 10-й и 11-й Windows. Но это не значит, что пользователи Home версии не могут позволить себе те же функции защиты. Они могут включить функцию под названием Device Encryption. Шифрование здесь работает так же, как в BitLocker: главное отличие в том, что Device Encryption менее придирчив к изменениям в железе и программной среде.

Также TPM помогает улучшить работу других элементов защиты. В Windows Enterprise и Education есть технология под названием Device Guard. Она применяется для запуска приложений в защищённой виртуальной среде. Через неё нельзя получить доступ к системному ПО. Credential Guard, в отличие от Device Guard, хранит секретные данные вроде хэшей паролей и учётных данных в виртуальной машине, к которым процессы, протекающие в обычной ОС, не могут получить доступ.

Кроме того, TPM может понадобиться сетевым службам Windows. Так они удостоверятся, что компьютер, что пытается подключиться к серверу, тот же, что был изначально зарегистрирован. Они же проверяют, использует ли ПК BitLocker и другие средства защиты. Так обеспечивается гарантия безопасности на каждый день, а также удалённая поддержка и администрирование.

Что нового в TPM 2.0?

Windows 11 требуется не просто любой модуль TPM, ей нужна именно версия 2.0. Однако разница между спецификациями не велика. Всё описанное раннее может делать и оригинальный стандарт 1.2.

Ко времени выхода TPM 2.0 технологии значительно модернизировались. Изначально в спецификации модуля использовался популярный в то время метод шифрования RSA. Новая же версия также поддерживает более сильную криптографию на основе эллиптических кривых. Кроме того, он генерирует 256-битные хэши SHA-2. Взломать их сложнее, чем 160-битные SHA-1, которые стандарт TPM поддерживал изначально. Понятно, что Microsoft хотела стандартизовать самую безопасную версию TPM.

Возможно, ещё одна причина, почему Microsoft настаивает именно на второй версии модуля, заключается в том, что модуль работает с BIOS UEFI. Именно этот интерфейс компания рекомендовала долгое время в качестве лучшего выбора для Windows. Помимо того, что UEFI позволяет интегрировать некоторые функции BIOS в Windows, интерфейс также поддерживает защищённую загрузку. Это означает, что ОС не загрузится, если хэши не совпадают. А это в свою очередь гарантирует, что, если какой-нибудь руткит вмешивается в процесс запуска Windows, ОС не загрузится, и вы поймёте, что что-то идёт не так.

Проблемы с TPM

Огромное число пользователей жалуется на то, что требования к железу для Windows 11 излишни: для повседневных задач старый компьютер вполне сгодится для новой ОС. Однако есть те, кто не согласен с самой идеей TPM. Они утверждают, что модуль создаёт ложное чувство безопасности.

Важно понимать, что модуль не защитит от всех типов атак. Они бессилен против кейлоггеров — ПО, следящим за тем, какие клавиши вы нажимаете, когда вводите пароль на клавиатуре. Или от фишинговых писем, адресат которых предлагает ввести учётные данные на мошенническом веб-сайте. Может быть, поэтому Apple не присоединилась к Trusted Computing Group. Вместо этого компания разработала свой чип безопасности T2. Он следит не только за сохранностью ваших идентификационных данных, вроде отпечатка пальцев или пароля, но и контролирует микрофон, камеру и другое оборудование.

Беспокойство также вызывает вероятность того, что модуль может запретить пользователю делать то, что хочется на своём компьютере. К примеру, ОС с помощью TPM может удалённо проверить, действительно ли приложение разработал тот или иной издатель, и отказать в доступе, если оно не соответствует заявленной подписи. Хуже того, доступ к приложению может быть закрыт в любой момент– например, когда разработчик останавливает его поддержку или прекращает продажи.

Такие опасения высказывались в первые годы существования концепции доверенных вычислений. СМИ именовали модуль DRM-чипом, а Ричард Столлман, основатель движения свободного ПО, высмеивал TPM, однажды в шутку назвав его «вероломные вычисления». Сегодня о проблемах подобного рода почти не говорят. Теперь стало понятно, что, по всей вероятности, такие ограничения нужно реализовывать через облачные подписки на ПО, а не с помощью TPM.

Однако здесь не место вступать в эту дискуссию. Одно можно сказать наверняка: несмотря на то, что рост популярности TPM привёл к тому, что требования к безопасности ужесточились, мы не стали жить как при Большом Брате, как многие того боялись. Да, неприятно видеть, как Microsoft лишает огромное число компьютеров последней ОС. Но за стремление корпорации создать новый базовый уровень безопасности и за желание, чтобы грядущее поколение ПК было максимально защищённым, разносить в пух и прах компанию мы всё-таки не станем.

1. ЧТО ТАКОЕ TPM?
2. ЗАЧЕМ WINDOWS 11 НУЖНА ПОДДЕРЖКА TPM?
3. КАК ПРОВЕРИТЬ НАЛИЧИЕ TPM 2.0 НА КОМПЬЮТЕРЕ?
4. КАК ВКЛЮЧИТЬ TPM В БИОСЕ/UEFI?

Со дня публикации на сайте Microsoft системных требований Windows 11 пользователи ПК по всему миру стали интересоваться технологией TPM (Trusted Platform Module). Все дело в том, что эту версию операционной системы можно будет установить только на тот компьютер, который поддерживает эту технологию. Да и не просто ее саму, а последнюю на момент выхода Windows 11 спецификацию — TMP 2.0.

ЧТО ТАКОЕ TPM?

В буквальном переводе «Trusted Platform Module» — модуль доверенной платформы. Технология не нова — ее разработка началась еще в 1999 году. Если вкратце, предназначение TPM — генерация и хранение криптографических ключей в целях защиты информации от кражи и несанкционированного изменения.

Зачастую, модуль доверенной платформы выполняется в виде отдельного микрочипа. В случае с персональными компьютерами, он может быть встроен в материнскую плату либо подключаться к ней как внешнее устройство, но не только. Примерно так выглядит модуль TPM, подключающийся к материнской плате и порт для его подключения:

Однако обязанности криптографического модуля могут выполняться процессорами, если в них присутствует такая функция. В этом случае о технологии TPM можно говорить, что она реализована программным способом. Этим, возможно, обусловлены требования Windows 11 к моделям процессоров — устройство может полностью соответствовать по количеству ядер и тактовой частоте, но не поддерживать той или иной функции. Это как с некоторые компьютерными играми или специализированным программным обеспечением, требующим, чтобы процессор обладал определенным набором инструкций.

ЗАЧЕМ WINDOWS 11 НУЖНА ПОДДЕРЖКА TPM?

Как и, впрочем, всегда, Microsoft объясняют необходимость поддержки компьютером технологии TPM 2.0 обеспечением безопасности пользователя. Вот некоторые цели использования модулей:

• Система сможет определять подлинность подключаемого к компьютеру внешнего устройства. Внутри модуля TPM 2.0 будет храниться уникальный криптографический ключ, «принадлежащий» этому устройству. Если таковой отсутствует, устройство будет отнесено системой к числу неавторизованных или опасных — неважно. Словом, с ним работать не получится.
• Оценка целостности системы. Все примерно то же самое, что и с внешними устройствами. Только здесь криптографический ключ будет генерироваться и сохраняться в модуле TPM всякий раз при загрузке системы (или на каком-либо ином этапе ее работы). Это позволит проверить, была ли запущена система с «правильным» программным обеспечением, не изменилось ли оно с момента последнего запуска и т.д.
• Шифрование пользовательских данных с сохранением ключей внутри модуля TPM, а не где-либо на жестком диске. Например, если зашифровать диск при помощи BitLocker, а потом попробовать дешифровать его на другом компьютере, используя при этом подходящий ключ-пароль, то ничего не получится, т.к. для подтверждения операции понадобится модуль TPM, при помощи которого генерировался ключ.

С другой стороны, требование наличия в компьютере TPM 2.0 — это не только обеспечение безопасности, но и, например, очередной шаг в сторону прекращения поддержки системой устаревшего оборудования, что создаст необходимость у пользователя в покупке новых устройств. Борьба с пиратством в области программного обеспечения — еще одна причина этого требования со стороны Windows 11. Для одних — это хорошая новость, для других — нет. Но не стоит полагать, что хакеры не смогут вырезать из системы или как-то переделать функцию проверки наличия модуля TPM 2.0 у компьютера…

КАК ПРОВЕРИТЬ НАЛИЧИЕ TPM 2.0 НА КОМПЬЮТЕРЕ?

Здесь все очень просто:

• Запускаем приложение «Выполнить» комбинацией клавиш «Win + R» и вписываем в него команду «tpm.msc»:

• Откроется окно «Управление доверенным платформенным модулем (TPM) на локальном компьютере», где в блоке «Сведения об изготовителе TPM» будет указана версия спецификации модуля:

• Если же модуль отсутствует или не включен в настройках BIOS материнской платы, то система нам об этом так и сообщит:

Кстати, скриншот выше был сделан на компьютере под управлением Windows 11. Модуля TPM в материнской плате нет, как нет настройки в BIOS для активации функции (проверено) и программной ее реализации у процессора. Тем не менее, систему удалось установить без каких-либо проблем, и она прекрасно работает.

КАК ВКЛЮЧИТЬ TPM В БИОСЕ/UEFI?

Если при помощи команды «tpm.msc» удалось выяснить, что модуль TPM отсутствует, можно попробовать включить его в настройках BIOS/UEFI. Если эта функция поддерживается материнской платой, то от пользователя потребуется только найти и активировать соответствующую опцию в БИОСе. Ввиду того, что пользовательские интерфейсы BIOS/UEFI сильно отличаются друг от друга (да и сама опция именуется по-разному), мы не можем назвать универсального способа включения TPM. Но можем привести несколько примеров:

• У материнских плат Gigabyte Z590 опция включения TPM именуется как «Intel Platform Trust Technology (PTT)», и находится она во вкладке «Settings» в разделе «Miscellaneous».

• У многих моделей современных материнских плат Asus функция называется «TPM State», а находится она во вкладке «Avanced» в разделе «Trusted Computing»:

• В материнских платах MSI нужная нам опция именуется как «Security Device Support». Включается она во вкладке «Setting», откуда нужно зайти в раздел «Security», а затем в подраздел «Trusted Computing»:

Таких примеров можно привести множество. Проще самостоятельно определить название материнской платы (например, при помощи программы AIDA64, а затем найти по ней информацию в интернете. И никто не запрещает войти в настройки BIOS/UEFI системной платы и поискать в ней опцию, в названии которой, скорее всего, будет присутствовать «TPM», «Trusted» или «Platform».

Требование Windows 11 TPM 2.0 не так жестко, как может показаться. Конечно, Microsoft настоятельно рекомендует обновляться до Windows 11 только в том случае, если у вас есть устройство с этим оборудованием безопасности, но оно вам на самом деле не нужно для перехода на новую операционную систему. Фактически, существует довольно много обходных путей, которые Microsoft разрешила в мире для компьютеров без TPM 2.0, чтобы осуществить переход. Но кто знает, сколько времени пройдет, прежде чем компания передумает и закроет эти лазейки.

Прежде чем продолжить, следует отметить, что эти шаги применимы только к тем, у кого современный компьютер Windows, который не может пройти стандартный путь обновления из-за отсутствия TPM 2.0. Если вы не уверены, посмотрите наше руководство по загрузке и установке Windows 11, чтобы узнать, как проверить, может ли ваш компьютер работать с Windows 11. Если вы не можете перейти на новейшую ОС Windows из-за TPM, продолжайте читать это руководство.

Не забудьте также ознакомиться с нашим обзором Windows 11, чтобы узнать, стоит ли ее устанавливать. 

До того, как была анонсирована Windows 11, немногие действительно обращали внимание на TPM, что является сокращением от Trusted Platform Module.

Это физический чип, включенный во многие современные ПК (или встроенный в их процессоры), который представляет собой «безопасный криптопроцессор», предназначенный для повышения безопасности вашего устройства за счет предотвращения запуска вредоносного программного обеспечения.

Это довольно удобная функция, о которой вы даже не должны знать. Однако Microsoft настаивает на том, что Windows 11 может работать только на устройствах с TPM 2.0. Это привело к тому, что многие люди с достаточно мощными и новейшими ПК обнаружили, что они не могут перейти на Windows 11, несмотря на то, что остальное их оборудование соответствует минимальным системным требованиям Windows 11.

Хотя некоторые люди могут включить поддержку TPM через свой BIOS или даже приобрести модуль TPM для установки на свой компьютер, существуют способы запустить Windows 11 без поддержки TPM.

Установить Windows 11 без TPM

Чтобы установить Windows 11 без TPM, перейдите на страницу загрузки Windows 11 и нажмите «Загрузить сейчас» в разделе «Помощник по установке Windows 11».

Это загрузит установщик Windows 11. Когда вы запустите его, вы получите сообщение «Этот компьютер не может работать с Windows 11».

Когда это произойдет, нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить». Введите:

regedit

Нажмите Enter, и это откроет редактор реестра. Это мощный инструмент, который следует использовать только людям, которые знают, что они делают. Поэтому, если вы не чувствуете себя уверенно, пропустите этот способ.

В текстовом поле в верхней части окна введите:

HKEY_LOCAL_MACHINESYSTEMSetup

Нажмите Enter на клавиатуре. В меню слева вы должны увидеть выделение «Настройка». Щелкните его правой кнопкой мыши и выберите «Создать» > «Ключ».

Назовите новый ключ LabConfig (без кавычек) и нажмите Enter.

Щелкните правой кнопкой мыши только что созданный ключ LabConfig и выберите New > DWORD (32-bit) value. Назовите его «BypassTPMCheck» и установите для параметра «Value data» значение 1, затем нажмите «OK».

Сделайте то же самое для BypassRAMCheck и BypassSecureBootCheck и убедитесь, что для этих ключей также установлено значение 1 для параметра Value data.

Затем закройте редактор реестра и вернитесь к средству установки Windows 11. Нажмите «Назад», затем попробуйте снова установить Windows 11. На этот раз должно сработать.

Если это звучит слишком сложно, вы можете попробовать сценарий, который делает примерно то же самое, но автоматически. Это называется универсальной оболочкой MediaCreationTool, и хотя вам просто нужно запустить ее перед установкой Windows 11, вы всегда должны быть осторожны с запуском чужих скриптов, которые меняют вещи на вашем ПК.

Стоит ли запускать Windows 11 без TPM 2.0?

Итак, действительно можно запустить Windows 11 без TPM, но нужно ли? Хотя, по понятным причинам, очень неприятно, если у вас есть приличный компьютер, но он не может перейти на Windows 11, вам следует попробовать этот обходной путь только в том случае, если вы абсолютно уверены, что хотите принудительно обновить Windows 11.

Для начала, есть веская причина, по которой Microsoft настаивает на TPM 2.0 для Windows 11, поэтому, если на вашем компьютере этого нет, он упустит эти преимущества безопасности.

Microsoft также выпустила довольно серьезное предупреждение, в котором упоминается возможное «повреждение» неподдерживаемых компьютеров.

Microsoft также  отмечает: «Ваше устройство может работать неправильно из-за этой несовместимости или других проблем. Устройства, которые не соответствуют этим системным требованиям, больше не будут гарантированно получать обновления, включая, помимо прочего, обновления безопасности».

Таким образом, даже если вы заставите Windows 11 работать без TPM 2.0, вы можете обнаружить, что больше не будете получать никаких обновлений в будущем, что может поставить под угрозу вашу безопасность.

Таким образом, большинству людей мы не рекомендуем принудительно обновлять Windows 11 на ПК без TPM 2.0. Конечно, это расстраивает, но Microsoft продолжит обновлять и улучшать Windows 10, и вы не подвергнете риску себя или свой компьютер.

Международная регистрация товарного знака по всему миру за 4 месяца. Защита интеллектуальной собственности. https://offshorensk.ru/

Новости

Windows 11 требует ПК с TPM 2.0. Так есть ли на Вашем компьютере TPM 2.0, TPM 1.2 или ничего из вышеперечисленного? Ваш компьютер поставляется с отключенным TPM в BIOS? Вам нужно купить аппаратный модуль TPM? И зачем вообще Windows вообще нужен TPM?

TPM означает «доверенный платформенный модуль». Это технология, обеспечивающая функции безопасности на аппаратном уровне. Он генерирует и хранит ключи шифрования и выполняет функции с защитой от несанкционированного доступа. Он обеспечивает дополнительную защиту от вредоносных программ и других типов атак.

В своем блоге Microsoft объясняет, что все системы Windows 11 будут иметь «аппаратный корень доверия». TPM — это защищенный от несанкционированного доступа элемент в ядре компьютера, который можно использовать для таких функций безопасности, как шифрование диска и безопасный биометрический вход с помощью Windows Hello.

«Аттестация» TPM может использоваться для удаленной аутентификации оборудования и программного обеспечения. TPM имеет уникальный ключ подтверждения (EK), встроенный в оборудование. Организации могут удаленно проверить и подтвердить, что устройство соответствует заявленному, и что аппаратное и программное обеспечение не было изменено. Например, это может быть особенно полезно для компании, управляющей парком рабочих ноутбуков.

TPM включает аппаратный генератор случайных чисел, от которого также может зависеть система. В современных смартфонах есть микросхемы безопасности, которые выполняют специализированные функции, так почему бы компьютерам их не использовать?

Зачем это нужно Windows 11

Вот один пример: шифрование BitLocker может хранить ключи шифрования в TPM для защиты Ваших файлов. Когда Ваш компьютер загружается, ключ, хранящийся в TPM, используется для разблокировки Вашего диска. Если злоумышленник выдернет Ваш системный диск и вставит его в другой компьютер, злоумышленник не сможет расшифровать его и получить доступ к Вашим файлам без ключей, хранящихся в TPM. TPM защищен от несанкционированного доступа, поэтому злоумышленник не может просто подключить его к другому компьютеру или легко извлечь из него ключ дешифрования.

Даже в Windows 10 BitLocker обычно не работает без TPM. Если все ПК с Windows 11 имеют TPM, то все ПК с Windows 11 могут изначально поддерживать шифрование устройства. Это намного лучше, чем ситуация с некоторыми компьютерами с Windows 10, оснащенными шифрованием диска, в то время как другие не включают шифрование.

Доверенный платформенный модуль предоставит каждой системе Windows 11 базовый уровень аппаратной безопасности, на который Microsoft будет опираться. Windows 11 всегда может предполагать, что у нее есть базовый уровень аппаратной безопасности. Microsoft не придется создавать программные обходы поверх Windows 11 или оставлять такие важные функции, как шифрование диска, отключенными на многих ПК.

Почему TPM 1.2 недостаточно хорош

Через несколько дней после анонса Windows 11 на странице совместимости Microsoft с Windows 11 говорилось, что некоторые системы с TPM 1.2 можно будет обновить. Позже Microsoft отредактировала эту страницу и заявила, что потребуется TPM 2.0.

Веб-страница Microsoft, датированная 2018 годом, указывает на ряд преимуществ безопасности, которые TPM 2.0 имеет по сравнению с TPM 1.2, включая поддержку более современных криптографических алгоритмов. Поскольку TPM 2.0 обладает этими преимуществами и используется уже несколько лет, Microsoft явно считает, что имеет смысл требовать TPM 2.0.

Microsoft требует TPM на некоторых новых ПК с 2016 года

Microsoft уже несколько лет требует TPM 2.0 на ПК с Windows 10.

С 28 июля 2016 г. на всех производимых новых ПК с Windows по умолчанию должен быть включен TPM 2.0. Если Вы покупаете ноутбук, ПК, 2-в-1 или любое другое устройство с предустановленной Windows 10, Microsoft требует, чтобы производитель включил TPM 2.0.

Однако это требование к производителю компьютера для лицензирования и поставки Windows на ПК. Если бы Вы собирали свой собственный компьютер, Вы могли бы купить материнскую плату без оборудования TPM и установить на нее Windows 10. Или производитель Вашей материнской платы мог поставить оборудование с отключенным TPM.

Windows 10 нормально работала бы без TPM, тогда как Windows 11 откажется устанавливать в такой системе.

Есть ли на Вашем компьютере TPM? И включен или он?

Если Вы приобрели компьютер с Windows 10 в 2016 году или позже, велика вероятность, что на нем уже включен TPM 2.0, если только эта модель не была изначально сделана до установленной даты.

Если Ваш компьютер старше этого возраста, он может иметь или не иметь TPM, который требуется для Windows 11. Многие ПК обновили Windows 7 до Windows 10, и эти ПК, скорее всего, останутся без обновления из-за этого требования.

Однако люди, которые собрали свои собственные ПК — множество компьютерных геймеров — могут оказаться в странной ситуации. Если Вы собрали свой собственный компьютер (или приобрели его у компании, которая собрала его для Вас), Ваш компьютер может иметь или не иметь TPM 2.0. Даже если Windows сообщает, что TPM 2.0 отсутствует, его можно просто отключить по умолчанию, и Вам может потребоваться включить его в BIOS Вашего компьютера.

Чтобы узнать это, Вам может потребоваться зайти в BIOS Вашего компьютера (технически это теперь экран настроек микропрограммы UEFI на современных компьютерах, но часто все еще называется BIOS) и поискать параметр под названием «TPM» или что-то подобное, который включает эту функцию.

На некоторых компьютерах есть TPM на основе микропрограмм. Intel называет эту функцию iPPT (Intel Platform Protection Technology), а AMD — fTPM (Firmware Trusted Platform Module). Возможно, Вам понадобится найти параметр с таким названием на экране настроек BIOS/UEFI. Он тоже может назвываться как-нибудь иначе — обратитесь к руководству по материнской плате для получения дополнительной информации.

Есть большая вероятность, что многие люди с более новыми ПК смогут включить TPM 2.0 в BIOS, не приобретая отдельный аппаратный модуль TPM. Однако некоторые игровые материнские платы не поддерживают эту функцию, и она может быть недоступна.

Microsoft создала запутанную путаницу

Требование иметь TPM 2.0 в качестве базовой линии безопасности оборудования, которую Microsoft может разработать, имеет смысл. Помните, что Microsoft продолжит поддерживать Windows 10 до 14 октября 2025 года, поэтому Вы можете продолжать использовать свой текущий компьютер и операционную систему в течение многих лет.

Настоящая проблема, опять же, в плохой коммуникации Microsoft. Например, если бы Microsoft предупредила людей, что однажды потребуется TPM 2.0, производители материнских плат, вероятно, не стали бы экономить на добавлении его в игровые платы. Энтузиасты ПК должны были убедиться, что в их сборках был TPM. Производители оборудования могли включить его по умолчанию, а не отключать по умолчанию.

Объявление о Windows 11 также было странным: Microsoft сначала заявила, что TPM 1.2 будет частично поддерживаться, но затем передумала. Microsoft поначалу даже не пыталась объяснить, зачем нужен TPM. После того, как Microsoft попыталась создать шумиху по поводу обновления, официальный инструмент проверки работоспособности ПК загадочным образом отказал, не сообщая людям, почему их ПК не поддерживался.

Microsoft также могла бы объяснить ситуацию и предоставить информацию о включении TPM 2.0 в BIOS Вашего компьютера, но компания этого не сделала.