модуля шифрования tpm 2 0 что это
Что такое доверенный платформенный модуль (TPM)?
Доверенный платформенный модуль (TPM) используется для повышения безопасности компьютера. Он используется такими службами, как шифрование диска BitLocker, Windows Hello и другие, для безопасного создания и хранения криптографических ключей, а также для подтверждения того, что операционная система и встроенное ПО на вашем устройстве соответствуют указанным сведениям и не были изменены.
Как правило, это отдельная микросхема на системной плате, хотя стандарт TPM 2.0 позволяет изготовителям, например Intel или AMD, встраивать возможности доверенного платформенного модуля в набор микросхем.
Доверенный платформенный модуль используется уже более 20 лет и входит в состав компьютеров с 2005 г. В 2016 г. версия TPM 2.0 (текущая версия на момент написания этой статьи) стала стандартом для новых компьютеров.
Когда вы шифруете данные, чтобы защитить их от посторонних глаз, программа для шифрования берет фрагмент данных, который нужно зашифровать, и объединяет его с длинной случайной строкой символов, чтобы создать новый (зашифрованный) фрагмент данных. Длинная случайная строка символов, используемая программой для шифрования, является криптографическим ключом.
Примечание: Незашифрованные данные называются «открытым текстом». Зашифрованная версия этих данных называется «зашифрованным текстом».
Расшифровать такой текст и прочитать исходный фрагмент данных может только пользователь, у кого есть правильный криптографический ключ.
Имеется ли на моем компьютере доверенный платформенный модуль?
Существует высокая вероятность того, что на вашем компьютере уже есть доверенный платформенный модуль и, если ему менее 5 лет, это версия TPM 2.0.
Чтобы узнать, есть ли доверенный платформенный модуль на вашем компьютере с Windows 10, выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства. Если он у вас есть, на экране будет отрезок Процессор безопасности.
Совет: Если вы не видите раздел Процессор безопасности, возможно, на вашем устройстве есть TPM, но она отключена. Чтобы узнать, как включить его, см. статью Включение TPM 2.0 на компьютере.
Далее нужно узнать, какая версия доверенного платформенного модуля есть на вашем компьютере. Выберите Сведения об обработчике безопасности и на появившемся экране найдите версию спецификации. Должна быть указана версия 1.2 или 2.0.
Важно: Для Windows 11 требуется TPM 2.0. Дополнительные сведения см. в статье Требования к системе для Windows 11.
Хотите узнать больше о доверенном платформенном модуле? См. статью Обзор технологии доверенного платформенного модуля.
Что такое TPM 2.0 для Windows 11
После анонса операционной системы Windows 11 многие пользователи начали интересоваться, что такое TPM модуль, который необходим для поддержки этой новой ОС.
В данной статье мы расскажем, что такое TPM 2.0, как проверить его наличие на компьютере, а также как установить и включить TMP модуль в настройках BIOS.
Что такое TPM модуль
TPM или Trusted Platform Module (Доверенный Платформенный Модуль) – это спецификация, которая описывает специальный процессор, предназначенный для безопасного хранения ключей шифрования и защиты информации. Например, в данном чипе могут храниться ключи для шифрования жесткого диска при помощи технологии Bitlocker.
Спецификация может быть реализована в виде отдельного физического процессора или в виде программной эмуляции на базе прошивки BIOS. Программная эмуляция TPM 2.0 присутствует на большинстве современных материнских плат для процессоров Intel и AMD.
Аппаратные TPM модули для материнских плат разных производителей.
Также многие материнские платы поддерживают установку отдельных физических чипов, которые выглядят как небольшая плата, подключаемая к через специальный разъем. Такие платы с чипами выпускаются производителями материнских плат специально под свое оборудование и не являются универсальными. Поэтому при покупке отдельного модуля нужно уточнять, подходит ли он к вашей материнской плате.
Как проверить наличие TPM 2.0 для Windows 11
Для того чтобы проверить наличие TPM 2.0 на компьютере можно воспользоваться встроенной программой для работы с TPM, которая доступна на Windows 10. Для этого нужно нажать комбинацию клавиш Win-R и выполнить команду « tpm.msc ».
В результате откроется окно « Управление доверенным платформенным модулем на локальном компьютере ». Если на компьютере есть TPM модуль, то здесь будут доступны настройки TPM на локальном компьютере. В центральной части окна будет информация о модуле, а справа кнопки « Подготовить » и « Очистить ».
Если TPM модуль отсутствует или он отключен в BIOS, то данном окне будет отображаться надпись « Не удается найти совместимый доверенных платформенный модуль ».
В этом случае нужно открыть настройки BIOS, включить модуль TPM и еще раз выполнить команду « tpm.msc », для того чтобы проверить состояние модуля.
Больше информации в статьях:
Как включить TPM 2.0 в BIOS
В большинстве современных материнских плат от Intel и AMD есть программная реализация TPM, которую можно включить в BIOS. Для этого нужно зайти в настройки BIOS, найти там соответствующую функцию и включите ее. Програмная реализация обычно называется:
Потом открыть раздел « Settings – Miscellaneous ».
И включить функцию « Intel Platform Trust Technology (PTT) ».
А потом перейти в раздел « Дополнительно – AMD fTPM configuration ».
Здесь нужно включить опцию « AMD fTPM swich ».
После включения Intel PPT или AMD fTPM загрузитесь в Windows 10 и выполните команду « tpm.msc ». Если все было сделано правильно, то в окне окно « Управление доверенным платформенным модулем » должны появиться настройки.
Подробно о включении TPM 2.0 на:
Как установить TPM модуль
Для начала нужно установить сам TPM модуль на материнскую плату. Для установки используется специальный разъем, который должен быть предусмотрен на материнской плате.
После установки TPM модуля нужно включить компьютер и войти в BIOS. В случае материнской платы от ASUS нужно перейти в режим « Advanced Mode (F7) » и открыть раздел « Advanced – Trusted Computing ».
Дальше нужно включить слудующие функции и сохранить настройки BIOS:
После установки и включения TPM модуля загрузитесь в Windows 10 и выполните команду « tpm.msc ». Если модуль заработал, то в окне окно « Управление доверенным платформенным модулем » должны отобразиться настройки.
Возможно вам будет интересно:
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.
хотел узнать на z97 есть ли етот тпм, оказалься что есть
спасибо
Скорее всего, у вас есть только поддержка внешнего модуля, программная эмуляция Intel PTT вроде как только с 8 поколения Интел, а AMD fTPM с 1 поколения Ryzen.
Но, это пока не точно. Не получается найти информацию, с какого момента появилась программная эмуляция TPM.
В России и Китае для работы Windows 11 он вроде так и не понадобится, но я все равно включил в Биосе (проц. Райзен 3100) TPM. Виртаулизацию тоже включил — вроде необходима для работы антивируса. Скажите, насколько TPM необходимая вещь?
Пока неизвестно точно. Возможно, TPM будет отключен только для готовых компьютеров, которые продаются вместе с Windows, а для самостоятельной установки это требование останется.
Домашние пользователи ССД или винчестер не шифруют. Но будет ли полезна ТРМ для хранения браузером паролей например, и шифрованного Интернет соединения?
на m5a99x evo r2.0 как включить TPM.
Поддержку по конкретным моделям нужно уточнять в инструкции к материнской плате. Ищите в Google название платы, переходите на сайт производителя, дальше раздел «Поддержка — Руководства и документация». Там всегда есть инструкция (user manual) в формате PDF. Открываете и ищите по словам «TPM» и «PTT».
Что такое модуль TPM и как он поможет защитить информацию на компьютере
Содержание:
Материл обновлен в декабре 2021 года. Сегодня для защиты компьютерных данных повсеместно используют шифрование. Обычно мы говорим о криптографических программах, таких, как Veracrypt. Но справляться с подобными задачами помогают и физические чипы. Одно из таких полезных устройств называют Trusted Platform Module, «доверенный платформенный модуль» или просто TPM. В этой статье мы выясним, как пользователю Windows определить наличие TPM-модуля у себя в компьютере.
Зачем нужен TPM
Модуль может оказаться полезен, например, для:
Вероятно, самый распространенный сценарий использования TPM – шифрование жесткого диска. Эта операция позволяет надежно защитить данные от несанкционированного доступа. Если с компьютером произойдет неприятность – кража, потеря, изъятие во время следственных действий – полнодисковое шифрование не позволит посторонним людям добраться до ваших файлов.
В Windows 10 pro и Windows 8 pro есть программа Bitlocker. С ее помощью можно включить на компьютере полнодисковое шифрование. Тут-то и пригодится система TPM. Модуль позволит создать и хранить криптографические ключи, нужные для шифрования. При этом разъем TPM не является частью Windows. Он не зависит от возможных уязвимостей ни в самой операционной системе, ни в прикладных программах.
Если злоумышленник попробует стартовать компьютер с флешки или CD/DVD, пара Bitlocker + TPM не разрешат доступ к диску. Если злоумышленник вынет жесткий диск из корпуса изъятого компьютера и подключит диск к своему компьютеру (а так обычно и делают), Bitlocker + TPM тоже защитят ваши данные. Любая попытка «обойти» оригинальную конфигурацию загрузки приведет к неудаче. (Точнее, потребуется специальный ключ).
Можно ли пользоваться полнодисковым шифрованием без TPM? Да, конечно. Криптомодуль делает этот процесс в чем-то удобнее для пользователя. Если он у вас есть – значит, у вас, как минимум, есть выбор, и вы можете попробовать что-то новое для безопасности своего компьютера.
Как выглядит TPM
«Классический» дискретный TPM – микроплата, вставленная в разъем на материнской плате. Разъем (на сленге компьютерщиков – «колодка»), как правило, имеет маркировку «TPM». Если вы дружите с отверткой, можете заглянуть внутрь своего десктопа и поискать TPM-разъем самостоятельно. Как правило, он находится на краю материнской платы рядом с разъемами для подключения внешних («корпусных») USB-портов и аудиоразъемов. На этой странице вы можете видеть, как выглядит сам криптомодуль и гнездо для TPM на материнской плате ASUS ROG MAXIMUS X APEX. Другой вариант – когда TPM-модуль распаян прямо на материнской плате.
Функции криптомодуля могут быть реализованы программно, в прошивке. Например, у AMD это называется fTPM (firmware-based TPM). Если на компьютере есть и fTPM, и разъем для дискретного криптомодуля, выбор между ними пользователю предстоит сделать в BIOS.
Как узнать, есть ли у меня TPM
«Раскрутить и посмотреть» – не всегда хороший совет. Если у вас, допустим, ультрабук, то для доступа к внутренностям может понадобиться выкрутить 5-10 крошечных винтиков, а потом отыскивать нужную микросхему в плотной компоновке мелких деталей. Вряд ли вы захотите удовлетворять свое любопытство таким способом.
Способ 1
Загляните в диспетчер устройств Windows. Если в разделе устройств безопасности вы видите строчку типа «Trusted Platform Module 2.0», значит, у вас есть криптомодуль.
Способ 2
Запустите в командной строке (клавиша Windows + R) утилиту tpm.msc. (Наберите и нажмите Enter). Утилита покажет наличие (или отсутствие) TPM.
Способ 3
Все еще не уверены? Попробуйте открыть командную строку с правами администратора (клавиша Windows + Х, соответствующий пункт меню) и выполните команду:
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl
Если первые строки возвращают значение «TRUE», вы счастливый обладатель TPM. В противном случае вы увидите надпись «Отсутствуют экземпляры».
Впрочем, модуль может быть принудительно отключен в UEFI/BIOS. Чтобы выяснить, так ли это, перезагрузите компьютер, войдите в UEFI/BIOS и отыщите в настройках что-нибудь вроде «TPM configuration» или «Security Chip» (название пункта меню зависит от вашего компьютера).
Возможна ситуация, когда у вас нет доступа к компьютеру (например, вы только собираетесь его приобрести). Тогда лучше заранее поискать спецификации компьютера и/или материнской платы. Примеры:
Хотите узнать о TPM больше?
Зачем нужен TPM 2.0? Как включить TPM на компьютере в BIOS
Windows 11 сделала своей главной целью — обеспечение защиты своих пользователей. Поэтому они считают необходимым наличие модуля Trusted Platform Module версии 2.0 на компьютерах, где будет устанавливаться новая операционная система. Если вы столкнулись с тем, что не можете установить Windows 11 на свой компьютер из-за отключенного TPM 2.0, то этот материал для вас.
Что такое Trusted Platform Module (TPM)?
TPM — это криптографическая технология. Основная функция этой технологии — действовать как дополнительный инструмент для предотвращения несанкционированного доступа к такой информации, как пароли, сертификаты, аутентификация и ключи шифрования. Полноценной защиты своих данных без чипа TPM сейчас сложно представить.
Но TPM — это не только чип. Это может быть действительно чип или модуль, одним словом отдельный физический компонент, который подключается к материнской плате, при условии, что на материнской плате есть разъем для него. Этот вариант — самый безопасный тип TPM для пользователя.
TPM также может быть частью ЦП — либо как часть набора микросхем, либо как строка кода. Этот вариант TPM в равной степени безопасен, как и установка чипа.
Однако, есть и виртуальные TPM. Этот вариант не рекомендуется, поскольку он уязвим для взломщиков.
Проверяем включен ли TPM на ПК
Если на вашем компьютере установлена технология TPM, тогда вы сможете запустить специальную утилиту для управления настройками. Для этого используется файл tpm.msc, который проще всего запустить через строку «Выполнить»:
Если там указано, что TPM готов к использованию, то это значит, что для включения вам больше ничего не нужно — всё уже активно.
Активируем TPM в BIOS
Чтобы исполнить требования Windows и включить TPM на своем компьютере, необходимо зайти в базовые настройки или BIOS. Для этого перезагрузите систему, а когда компьютер начнет вновь запускаться, то нажмите специальную клавишу для открытия меню BIOS. На всех компьютерах она может быть разная, поэтому чаще всего производители выносят на экран информацию о том, какую именно клавишу необходимо нажать. Например, это может выглядеть так:
«Press Del to enter SETUP»
Если клавиша Del не сработала, тогда при следующем запуске попробуйте нажимать ее по несколько раз в секунду, чтобы точно поймать момент, когда система готова обработать этот запрос.
Если BIOS так и не запустился, то попробуйте для входа использовать Esc, Fn, а также любую клавишу из ряда F1- F10. В некоторых моделях, например у производителя Sony, для входа в BIOS предусмотренна отдельная клавиша. Если не хотите гадать, то посмотрите на сайте производителя какая клавиша отвечает за вход в вашу версию BIOS. Так вы можете воспользоваться этой полезной страничкой со ссылками на службу поддержки самых популярных производителей компьютеров.
В BIOS вам придется использовать клавиши для навигации. Так переходить от кнопки к кнопке и от раздела к разделу можно с помощью стрелок, а для выбора нужно использовать клавишу Enter.
Как только вы вошли в этот интерфейс, нужно перейти к вкладке «Security tab» (или «Безопасность»). В некоторых версиях БИОС эта вкладка может называться «Advanced/Trusted Computing», как, например, для Asus. Теперь найдите здесь параметр: TPM, Intel Platform Trust Technology (IPTT), или AMD CPU fTPM — результат будет зависеть от вашего производителя процессора. Здесь вам нужно убедиться, что напротив стоит значение «Enabled» (или «Включено») — это означает, что модуль активен. Если же нет, то с помощью клавиш переключите значение параметра.
Чтобы сохранить изменения, нажмите F10. Всё сохраниться, а BIOS автоматически закроется.
Эти действия включают на вашем компьютере или ноутбуке TPM 2.0, и каких-либо дополнительных действий не нужно.
Включаем TPM в UEFI
Давайте с вами сразу договоримся, что будем воспринимать UEFI как приемника BIOS. Конечно, UEFI (Unified Extensible Firmware Interface) — это новое решение, помогающее управлять базовым программным обеспечением системы, но по сути это всё тот же БИОС только с более понятным интерфейсом, который поддерживает русский язык и которым можно пользоваться с помощью мышки. Теперь управление настройками системы стало значительно проще, особенно для начинающих пользователей!
Поэтому для включения чипа TPM вы можете легко воспользоваться инструкцией выше для BIOS.
Но всё же UEFI — это более удобное изобретение, поэтому мы предлагаем вам пойти несколько иным путём:
Активируем TPM в BIOS материнской платы Gigabyte
Для материнской платы Gigabyte принцип действия будет такой же, как и для других устройств. Но будут отличаться некоторые детали:
Компьютер перезагрузится, а TPM начнет свою работу.
Включаем TPM в BIOS материнской платы MSI
У БИОС MSI также, как и у Gigabyte, есть два режима: обычный и расширенный. И вам также нужен именно расширенный режим. Поэтому ваши действия будут такими:
Обзор технологии доверенного платформенного модуля
Применяется к
В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности.
Описание компонента
Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптографический процессор, предназначенный для выполнения криптографических операций. Микросхема имеет несколько физических механизмов обеспечения безопасности, которые делают ее устойчивой к несанкционированному вмешательству, и вредоносное программное обеспечение не может взломать функции безопасности TPM. Некоторые из основных преимуществ использования технологии TPM:
создание, сохранение и ограничение использования криптографических ключей;
технологию TPM можно использовать для проверки подлинности устройства с помощью уникального RSA-ключа TPM, записанного в модуль;
обеспечение целостности платформы за счет хранения измерений безопасности.
Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.
Ключи на основе TPM можно настраивать различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если число неудачных попыток авторизации слишком велико, TPM активирует свою логику защиты от атак перебором по словарю и предотвращает дальнейшие попытки подбора.
Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.
Автоматическая инициализация TPM в Windows
Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM. Мы больше не разрабатываем активно консоль управления доверенного платформенного модуля, начиная с Windows Server 2019 и Windows 10 версии 1809.
В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.
Практическое применение
На компьютерах с TPM можно устанавливать и создавать сертификаты. После настройки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.
Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.
Антивредоносное программное обеспечение может использовать измеренные показатели состояния запуска операционной системы для подтверждения целостности компьютера с Windows 10, Windows 11 или Windows Server 2016. При этом запускается Hyper-V, чтобы убедиться, что центры обработки данных, использующие виртуализацию, не запускают недоверенные низкоуровневые оболочки. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.
В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.
Новые и измененные функции
Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows см. в разделе Что нового в доверенном платформенном модуле?
Аттестация работоспособности устройства
Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства.
На устройстве можно проверить следующее.
Предотвращение выполнения данных поддерживается и включено?
Шифрование диска BitLocker поддерживается и включено?
Безопасная загрузка поддерживается и включена?
Windows 11, Windows 10, Windows Server 2016 и Windows Server 2019 поддерживают подтверждение работоспособности устройства с помощью доверенного платформенного модуля 2.0. Поддержка доверенного платформенного модуля 1.2 была добавлена, начиная с Windows версии 1607 (RS1). Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Компьютер с устаревшими BIOS и доверенным платформенным модулем 2.0 будет работать не так, как ожидалось.