Windows 11 требует TPM — что это и зачем нужно?

1. ЧТО ТАКОЕ TPM?
2. ЗАЧЕМ WINDOWS 11 НУЖНА ПОДДЕРЖКА TPM?
3. КАК ПРОВЕРИТЬ НАЛИЧИЕ TPM 2.0 НА КОМПЬЮТЕРЕ?
4. КАК ВКЛЮЧИТЬ TPM В БИОСЕ/UEFI?

Со дня публикации на сайте Microsoft системных требований Windows 11 пользователи ПК по всему миру стали интересоваться технологией TPM (Trusted Platform Module). Все дело в том, что эту версию операционной системы можно будет установить только на тот компьютер, который поддерживает эту технологию. Да и не просто ее саму, а последнюю на момент выхода Windows 11 спецификацию — TMP 2.0.

ЧТО ТАКОЕ TPM?

В буквальном переводе «Trusted Platform Module» — модуль доверенной платформы. Технология не нова — ее разработка началась еще в 1999 году. Если вкратце, предназначение TPM — генерация и хранение криптографических ключей в целях защиты информации от кражи и несанкционированного изменения.

Зачастую, модуль доверенной платформы выполняется в виде отдельного микрочипа. В случае с персональными компьютерами, он может быть встроен в материнскую плату либо подключаться к ней как внешнее устройство, но не только. Примерно так выглядит модуль TPM, подключающийся к материнской плате и порт для его подключения:

Однако обязанности криптографического модуля могут выполняться процессорами, если в них присутствует такая функция. В этом случае о технологии TPM можно говорить, что она реализована программным способом. Этим, возможно, обусловлены требования Windows 11 к моделям процессоров — устройство может полностью соответствовать по количеству ядер и тактовой частоте, но не поддерживать той или иной функции. Это как с некоторые компьютерными играми или специализированным программным обеспечением, требующим, чтобы процессор обладал определенным набором инструкций.

ЗАЧЕМ WINDOWS 11 НУЖНА ПОДДЕРЖКА TPM?

Как и, впрочем, всегда, Microsoft объясняют необходимость поддержки компьютером технологии TPM 2.0 обеспечением безопасности пользователя. Вот некоторые цели использования модулей:

• Система сможет определять подлинность подключаемого к компьютеру внешнего устройства. Внутри модуля TPM 2.0 будет храниться уникальный криптографический ключ, «принадлежащий» этому устройству. Если таковой отсутствует, устройство будет отнесено системой к числу неавторизованных или опасных — неважно. Словом, с ним работать не получится.
• Оценка целостности системы. Все примерно то же самое, что и с внешними устройствами. Только здесь криптографический ключ будет генерироваться и сохраняться в модуле TPM всякий раз при загрузке системы (или на каком-либо ином этапе ее работы). Это позволит проверить, была ли запущена система с «правильным» программным обеспечением, не изменилось ли оно с момента последнего запуска и т.д.
• Шифрование пользовательских данных с сохранением ключей внутри модуля TPM, а не где-либо на жестком диске. Например, если зашифровать диск при помощи BitLocker, а потом попробовать дешифровать его на другом компьютере, используя при этом подходящий ключ-пароль, то ничего не получится, т.к. для подтверждения операции понадобится модуль TPM, при помощи которого генерировался ключ.

С другой стороны, требование наличия в компьютере TPM 2.0 — это не только обеспечение безопасности, но и, например, очередной шаг в сторону прекращения поддержки системой устаревшего оборудования, что создаст необходимость у пользователя в покупке новых устройств. Борьба с пиратством в области программного обеспечения — еще одна причина этого требования со стороны Windows 11. Для одних — это хорошая новость, для других — нет. Но не стоит полагать, что хакеры не смогут вырезать из системы или как-то переделать функцию проверки наличия модуля TPM 2.0 у компьютера…

КАК ПРОВЕРИТЬ НАЛИЧИЕ TPM 2.0 НА КОМПЬЮТЕРЕ?

Здесь все очень просто:

• Запускаем приложение «Выполнить» комбинацией клавиш «Win + R» и вписываем в него команду «tpm.msc»:

• Откроется окно «Управление доверенным платформенным модулем (TPM) на локальном компьютере», где в блоке «Сведения об изготовителе TPM» будет указана версия спецификации модуля:

• Если же модуль отсутствует или не включен в настройках BIOS материнской платы, то система нам об этом так и сообщит:

Кстати, скриншот выше был сделан на компьютере под управлением Windows 11. Модуля TPM в материнской плате нет, как нет настройки в BIOS для активации функции (проверено) и программной ее реализации у процессора. Тем не менее, систему удалось установить без каких-либо проблем, и она прекрасно работает.

КАК ВКЛЮЧИТЬ TPM В БИОСЕ/UEFI?

Если при помощи команды «tpm.msc» удалось выяснить, что модуль TPM отсутствует, можно попробовать включить его в настройках BIOS/UEFI. Если эта функция поддерживается материнской платой, то от пользователя потребуется только найти и активировать соответствующую опцию в БИОСе. Ввиду того, что пользовательские интерфейсы BIOS/UEFI сильно отличаются друг от друга (да и сама опция именуется по-разному), мы не можем назвать универсального способа включения TPM. Но можем привести несколько примеров:

• У материнских плат Gigabyte Z590 опция включения TPM именуется как «Intel Platform Trust Technology (PTT)», и находится она во вкладке «Settings» в разделе «Miscellaneous».

• У многих моделей современных материнских плат Asus функция называется «TPM State», а находится она во вкладке «Avanced» в разделе «Trusted Computing»:

• В материнских платах MSI нужная нам опция именуется как «Security Device Support». Включается она во вкладке «Setting», откуда нужно зайти в раздел «Security», а затем в подраздел «Trusted Computing»:

Таких примеров можно привести множество. Проще самостоятельно определить название материнской платы (например, при помощи программы AIDA64, а затем найти по ней информацию в интернете. И никто не запрещает войти в настройки BIOS/UEFI системной платы и поискать в ней опцию, в названии которой, скорее всего, будет присутствовать «TPM», «Trusted» или «Platform».