Tpm windows 11 что это
Что такое доверенный платформенный модуль (TPM)?
Доверенный платформенный модуль (TPM) используется для повышения безопасности компьютера. Он используется такими службами, как шифрование диска BitLocker, Windows Hello и другие, для безопасного создания и хранения криптографических ключей, а также для подтверждения того, что операционная система и встроенное ПО на вашем устройстве соответствуют указанным сведениям и не были изменены.
Как правило, это отдельная микросхема на системной плате, хотя стандарт TPM 2.0 позволяет изготовителям, например Intel или AMD, встраивать возможности доверенного платформенного модуля в набор микросхем.
Доверенный платформенный модуль используется уже более 20 лет и входит в состав компьютеров с 2005 г. В 2016 г. версия TPM 2.0 (текущая версия на момент написания этой статьи) стала стандартом для новых компьютеров.
Когда вы шифруете данные, чтобы защитить их от посторонних глаз, программа для шифрования берет фрагмент данных, который нужно зашифровать, и объединяет его с длинной случайной строкой символов, чтобы создать новый (зашифрованный) фрагмент данных. Длинная случайная строка символов, используемая программой для шифрования, является криптографическим ключом.
Примечание: Незашифрованные данные называются «открытым текстом». Зашифрованная версия этих данных называется «зашифрованным текстом».
Расшифровать такой текст и прочитать исходный фрагмент данных может только пользователь, у кого есть правильный криптографический ключ.
Имеется ли на моем компьютере доверенный платформенный модуль?
Существует высокая вероятность того, что на вашем компьютере уже есть доверенный платформенный модуль и, если ему менее 5 лет, это версия TPM 2.0.
Чтобы узнать, есть ли доверенный платформенный модуль на вашем компьютере с Windows 10, выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства. Если он у вас есть, на экране будет отрезок Процессор безопасности.
Совет: Если вы не видите раздел Процессор безопасности, возможно, на вашем устройстве есть TPM, но она отключена. Чтобы узнать, как включить его, см. статью Включение TPM 2.0 на компьютере.
Далее нужно узнать, какая версия доверенного платформенного модуля есть на вашем компьютере. Выберите Сведения об обработчике безопасности и на появившемся экране найдите версию спецификации. Должна быть указана версия 1.2 или 2.0.
Важно: Для Windows 11 требуется TPM 2.0. Дополнительные сведения см. в статье Требования к системе для Windows 11.
Хотите узнать больше о доверенном платформенном модуле? См. статью Обзор технологии доверенного платформенного модуля.
Microsoft объяснила, зачем Windows 11 нужен TPM и закрыла доступ к утилите PC Health Check, которая путала пользователей
Сообщение в утилите Windows 11 PC Health Check, что новая ОС не установится на систему пользователя из-за отсутствия в ней поддержки технологии Trusted Platform Module (TPM) 2.0.
28 июня 2021 года Microsoft объяснила, зачем Windows 11 нужен модуль TPM 2.0. Также компания закрыла доступ к утилите PC Health Check, которая только путала пользователей своим анализом их систем.
Microsoft в своем блоге пояснила, что позиционирует Windows 11 как защищенную и безопасную систему. Поэтому и возникло требование по поддержке и наличию в ПК или ноутбуке пользователя модуля TPM 2.0 при установке новой ОС. Разработчик с помощью этой технологии собирается защищать пользователей от растущего уровня киберпреступности в мире, включая распространение фишинговых рассылок и внедрение программ-вымогателей. Microsoft настаивает, что ПК с TPM и новой ОС помогут обеспечить более высокий уровень защиты от различных атак. Позиция компании — все новые ПК с Windows 11 будут поставляться с TPM 2.0.
Эксперты считают, что Windows 11 будет поставляться без требований TPM для систем специального назначения и в те страны, которые не используют западные технологии шифрования, к примеру, в Китай и Россию.
Примечательно, что вопросы про TPM и поддержку многих процессоров в Windows 11 (AMD (Ryzen 2000 и выше), Intel (Intel Core 8 и выше) и ARM (Qualcomm)) начали серьезно беспокоить пользователей после анонса новой ОС.
Microsoft после презентации Windows 11 сообщила о системных требованиях для компьютеров и ноутбуков, владельцы которых смогут обновиться до новой операционной системы. Для удобства компания выпустила утилиту PC Health Check, которой можно было проверить компьютер на совместимость с Windows 11.
Оказалось, что эта программа показывает иногда непонятные ошибки и выдает в итоге, что система не сможет обновиться, хотя все ее компоненты удовлетворяют минимальным требованиям Microsoft по установке ОС Windows 11. В настоящий момент Microsoft прекратила поддержку этой утилиты и закрыла к ней доступ, чтобы не вводить пользователей в заблуждение. Microsoft пообещала устранить ошибки в утилите и сделать ее более удобной для пользователей в ближайшее время.
25 июня 2021 года Microsoft обновила утилиту Windows 11 PC Health Check. Компания добавила в вывод программы показ причины, из-за которой ПК пользователя не сможет обновиться на новую ОС. В первой версии этого приложения было просто уведомление, что система не удовлетворяет минимальным требованиям и пользователь сможет работать только на Windows 10.
Первая предрелизная сборка Windows 11 build 21996.1 появились в Сети 15 июня.
24 июня Microsoft представила Windows 11.
28 июня 2021 года Microsoft выпустила первую официальную предварительную версию Windows 11 Insider Preview build 22000.51 в рамках программы предварительной оценки Windows.
Обзор технологии доверенного платформенного модуля
Применяется к
В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности.
Описание компонента
Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптографический процессор, предназначенный для выполнения криптографических операций. Микросхема имеет несколько физических механизмов обеспечения безопасности, которые делают ее устойчивой к несанкционированному вмешательству, и вредоносное программное обеспечение не может взломать функции безопасности TPM. Некоторые из основных преимуществ использования технологии TPM:
создание, сохранение и ограничение использования криптографических ключей;
технологию TPM можно использовать для проверки подлинности устройства с помощью уникального RSA-ключа TPM, записанного в модуль;
обеспечение целостности платформы за счет хранения измерений безопасности.
Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.
Ключи на основе TPM можно настраивать различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если число неудачных попыток авторизации слишком велико, TPM активирует свою логику защиты от атак перебором по словарю и предотвращает дальнейшие попытки подбора.
Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.
Автоматическая инициализация TPM в Windows
Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM. Мы больше не разрабатываем активно консоль управления доверенного платформенного модуля, начиная с Windows Server 2019 и Windows 10 версии 1809.
В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.
Практическое применение
На компьютерах с TPM можно устанавливать и создавать сертификаты. После настройки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.
Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.
Антивредоносное программное обеспечение может использовать измеренные показатели состояния запуска операционной системы для подтверждения целостности компьютера с Windows 10, Windows 11 или Windows Server 2016. При этом запускается Hyper-V, чтобы убедиться, что центры обработки данных, использующие виртуализацию, не запускают недоверенные низкоуровневые оболочки. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.
В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.
Новые и измененные функции
Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows см. в разделе Что нового в доверенном платформенном модуле?
Аттестация работоспособности устройства
Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства.
На устройстве можно проверить следующее.
Предотвращение выполнения данных поддерживается и включено?
Шифрование диска BitLocker поддерживается и включено?
Безопасная загрузка поддерживается и включена?
Windows 11, Windows 10, Windows Server 2016 и Windows Server 2019 поддерживают подтверждение работоспособности устройства с помощью доверенного платформенного модуля 2.0. Поддержка доверенного платформенного модуля 1.2 была добавлена, начиная с Windows версии 1607 (RS1). Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Компьютер с устаревшими BIOS и доверенным платформенным модулем 2.0 будет работать не так, как ожидалось.
Windows 11 получит отдельный инструмент для диагностики TPM
Краткая сводка
Новая операционная система Windows 11 будет поставляться с отдельным инструментом TPM Diagnostics, который позволит администраторам просматривать данные процессора безопасности TPM определенного устройства.
Это логичный шаг, учитывая, что Microsoft продолжает настаивать на использовании микрочипов TPM 2.0 в качестве обязательного требования для установки Windows 11.
Микросхема TPM является аппаратным средством безопасности, которое предназначено для защиты ключей шифрования, учетных данных пользователей, а также других конфиденциальных данных от атак вредоносных программ и других форм взлома или извлечения данных.
Microsoft в своем блоге подчеркивает особую важность TPM и продолжает настаивать, что наличие активного доверенного платформенного модуля является обязательным требованием для установки Windows 11.
Компьютеры будущего нуждаются в этом современном аппаратном средстве защиты от обычных и сложных атак, таких как атаки с использованием программ-вымогателей и атаки государственного уровня. Требование TPM 2.0 повышает стандарт безопасности оборудования, требуя встроенного корневого доверительного управления.
Новый инструмент командной строки Windows 11 под названием TPM даст всем администраторам возможность запрашивать информацию, сохраненную в микросхеме TPM.
Файл tpmdiagnostics.exe будет расположен в системной директории C:\Windows\System32.
TPM 2.0 является важным компонентом для обеспечения безопасности с помощью Windows Hello и BitLocker. Он помогает клиентам лучше защищать свои персональные данные. Кроме того, для многих корпоративных клиентов доверенные платформенные модули помогают обеспечить безопасность Zero Trust, предоставляя безопасный элемент для подтверждения работоспособности устройств.
Какие команды будет поддерживать TPM Diagnostics?
Работать с данными TPM следуют только пользователям, которые знают, что делают. Любая допущенная вами ошибка может привести к случайному удалению ключей, необходимых для работы вашего устройства.
Документация Microsoft Trusted Platform вместе с новым инструментом TpmDiagnostics.exe предоставят множество информации о механизмах безопасности, лежащих в основе Windows 11.
Ниже приведем полный список команд, которые можно использовать в TPM Diagnostics:
Включить TPM 2.0 на компьютере
Опубликовано, август 2021 г.
Эта статья предназначена для пользователей, которые не могут перейти на Windows 11, так как их компьютер в настоящее время не включен с поддержкой TPM 2.0 или компьютер может работать под управлением TPM 2.0, но не настроен для этого. Если вы не знакомы с таким уровнем технических сведений, мы рекомендуем вам ознакомиться со сведениями о поддержке изготовителя компьютера, чтобы получить дополнительные инструкции для вашего устройства.
Большинство компьютеров, которые поставлялись за последние 5 лет, могут работать с модулем надежной платформы версии 2.0 (TPM 2.0). Для запуска системы TPM 2.0 требуется Windows 11, которая является важным элементом для обеспечения безопасности. TPM 2.0 используется в Windows 11 для ряда функций, в том числе для защиты удостоверений Windows Hello BitLocker для защиты данных.
В некоторых случаях компьютеры с возможностью запуска TPM 2.0 не настроены для этого. Если вы хотите учесть, что Windows 11, убедитесь, что на вашем устройстве включена TPM 2.0. Большинство розничных планшетов для компьютеров, используемых людьми, которые используют собственный компьютер, например, по умолчанию отключили TPM, даже если этот компьютер можно включить почти полностью.
Вариант 1. Использование Безопасность Windows приложения
Запуск Параметры > обновления & безопасности > Безопасность Windows > устройств
Если на этом экране нет раздела Процессор безопасности, возможно, на компьютере отключен режим TPM. Дополнительные сведения см. в инструкциях по в том, как включить технологию TPM, или в сведениях о поддержке изготовителя компьютера. чтобы включить TPM. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.
Вариант 2. Использование консоли управления Майкрософт
Нажмите клавиши [ Windows] + R или нажмите кнопку Начните> выполнить.
Введите «tpm.msc» (не используйте кавычка) и выберите ОК.
Если вы видите сообщение «Не удается найти совместимый TPM», возможно, на компьютере отключена TPM. Дополнительные сведения см. в инструкциях по в том, как включить технологию TPM, см. в инструкциях по ветвию TPM в службе поддержки компьютера. Если вам удастся включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.
Если вы видите сообщение о готовности TPM к использованию, проверьте версию спецификации в статье Сведения о изготовителе TPM, чтобы убедиться, что она 2.0. Если она меньше 2.0, ваше устройство не соответствует требованиям Windows 11.
Как включить TPM
Если вам нужно включить TPM, управление этими настройками осуществляется с помощью UEFI BIOS (программное обеспечение для ПК) и зависит от устройства. Чтобы получить доступ к этим настройкам, Параметры> обновить & безопасности > восстановление > перезапустить.
На следующем экране выберите устранение > дополнительных параметров> UEFI Параметры> перезапустить, чтобы внести изменения. Эти параметры иногда содержатся во в подменю в UEFI БИОНС с пометкой Advanced(Расширенный), Security(Безопасность) или Trusted Computing (Надежные вычисления). Параметр, позволяющий включить TPM, может называться «Устройство безопасности», «Поддержка устройств безопасности», «Состояние TPM»,«AMD fTPM», «AMD PSP fTPM», «Intel PTT»или «Технология intel Platform Trust Technology».
Если вы не знаете, как внести необходимые изменения в параметры TPM, рекомендуем вам проверить сведения о поддержке изготовителя компьютера или обратиться в службу поддержки. Ниже приведены ссылки на сведения, которые помогут вам при начать работу с некоторыми производителями компьютеров.