windows 11 tpm зачем
Microsoft объяснила, зачем Windows 11 нужен TPM и закрыла доступ к утилите PC Health Check, которая путала пользователей
Сообщение в утилите Windows 11 PC Health Check, что новая ОС не установится на систему пользователя из-за отсутствия в ней поддержки технологии Trusted Platform Module (TPM) 2.0.
28 июня 2021 года Microsoft объяснила, зачем Windows 11 нужен модуль TPM 2.0. Также компания закрыла доступ к утилите PC Health Check, которая только путала пользователей своим анализом их систем.
Microsoft в своем блоге пояснила, что позиционирует Windows 11 как защищенную и безопасную систему. Поэтому и возникло требование по поддержке и наличию в ПК или ноутбуке пользователя модуля TPM 2.0 при установке новой ОС. Разработчик с помощью этой технологии собирается защищать пользователей от растущего уровня киберпреступности в мире, включая распространение фишинговых рассылок и внедрение программ-вымогателей. Microsoft настаивает, что ПК с TPM и новой ОС помогут обеспечить более высокий уровень защиты от различных атак. Позиция компании — все новые ПК с Windows 11 будут поставляться с TPM 2.0.
Эксперты считают, что Windows 11 будет поставляться без требований TPM для систем специального назначения и в те страны, которые не используют западные технологии шифрования, к примеру, в Китай и Россию.
Примечательно, что вопросы про TPM и поддержку многих процессоров в Windows 11 (AMD (Ryzen 2000 и выше), Intel (Intel Core 8 и выше) и ARM (Qualcomm)) начали серьезно беспокоить пользователей после анонса новой ОС.
Microsoft после презентации Windows 11 сообщила о системных требованиях для компьютеров и ноутбуков, владельцы которых смогут обновиться до новой операционной системы. Для удобства компания выпустила утилиту PC Health Check, которой можно было проверить компьютер на совместимость с Windows 11.
Оказалось, что эта программа показывает иногда непонятные ошибки и выдает в итоге, что система не сможет обновиться, хотя все ее компоненты удовлетворяют минимальным требованиям Microsoft по установке ОС Windows 11. В настоящий момент Microsoft прекратила поддержку этой утилиты и закрыла к ней доступ, чтобы не вводить пользователей в заблуждение. Microsoft пообещала устранить ошибки в утилите и сделать ее более удобной для пользователей в ближайшее время.
25 июня 2021 года Microsoft обновила утилиту Windows 11 PC Health Check. Компания добавила в вывод программы показ причины, из-за которой ПК пользователя не сможет обновиться на новую ОС. В первой версии этого приложения было просто уведомление, что система не удовлетворяет минимальным требованиям и пользователь сможет работать только на Windows 10.
Первая предрелизная сборка Windows 11 build 21996.1 появились в Сети 15 июня.
24 июня Microsoft представила Windows 11.
28 июня 2021 года Microsoft выпустила первую официальную предварительную версию Windows 11 Insider Preview build 22000.51 в рамках программы предварительной оценки Windows.
Windows 11 будет поставляться без требований TPM для систем специального назначения
Microsoft ввела в Windows 11 новое требование, которое не позволяет любой системе без технологии Trusted Platform Module (TPM) 2.0 устанавливать ОС. Однако компания разрешит поставку некоторых систем без включенной функции.
Windows 11 / www.microsoft.com
Скорее всего, обычные пользователи не будут иметь доступа к установочным ISO-образам или специальным сборкам. Последние, вероятно, предназначены для использования в странах, которые не используют западные технологии шифрования, к примеру, в Китае и России.
Windows 11 требует либо наличие физического ключа TPM, либо поддержку fTPM. Microsoft не идет на уступки общественности и ужесточила требование, сменив поддержку TPM 1.2 на более новую версию 2.0. Это дополнительно ограничивает количество ПК, которые могут использовать Windows 11.
Компания поясняет, что некоторые системы будут работать без какой-либо разновидности включенного криптопроцессора TPM. Microsoft излагает полные системные требования в своем документе «Минимальные требования к оборудованию для Windows 11».
Для установки Windows 11 в системе без включенного TPM потребуется специальное разрешение Microsoft. Компания позволяет «OEM-производителям специальных коммерческих систем, заказных систем и клиентских систем с пользовательским образом» поставлять системы без включенной поддержки.
Требование Microsoft относительно TPM не встретило поддержки. Все технологии, которые оно включает, уже существуют в системах Windows 10, но для них не требуется TPM. Основное отличие заключается в том, что пользователи Windows 10 могут выбрать использование этих функций, включив TPM, или просто отказаться от их использования. Энтузиасты уже ищут обходные пути для установки Windows 11 в системах без поддержки TPM. Тем не менее, неясно, будут ли эти методы работать с готовыми версиями ISO.
Microsoft также придерживается своей позиции в отношении матрицы поддержки процессоров Windows 11. В обновленном документе не говорится о расширении текущего списка поддерживаемых процессоров Intel и AMD. Это означает, что Windows 11 не будет устанавливаться на все процессоры до моделей AMD Ryzen второго поколения и Intel восьмого поколения. Любопытно, что многие неподдерживаемые процессоры, такие как Skylake-X, поддерживают функции TPM, но их нет в списке поддерживаемых.
Microsoft представила Windows 11 24 июня. Релиз новой ОС ожидается в конце 2021 года. Пока же Microsoft выпустила утилиту для проверки на совместимость пользовательского ПК с Windows 11. Однако при тестировании выяснилось, что ОС можно установить не на все современные ПК и ноутбуки, которые работают с Windows 10. Тогда Microsoft обновила утилиту описанием причин, которые мешают установке новой ОС.
Зачем Windows 11 нужен TPM 2.0?
Windows 11 требует ПК с TPM 2.0. Так есть ли на вашем компьютере TPM 2.0, TPM 1.2 или ничего из вышеперечисленного? Ваш компьютер поставляется с отключенным TPM в BIOS? Вам нужно купить аппаратный модуль TPM? И зачем вообще Windows вообще нужен TPM?
Что такое TPM?
TPM означает «доверенный платформенный модуль». Это технология, обеспечивающая функции безопасности на аппаратном уровне. Он генерирует и хранит ключи шифрования и выполняет функции с защитой от несанкционированного доступа. Он обеспечивает дополнительную защиту от вредоносных программ и других типов атак.
В своём блоге Microsoft объясняет, что все системы Windows 11 будут иметь «аппаратный корень доверия». TPM — это защищённый от несанкционированного доступа элемент в ядре компьютера, который можно использовать для таких функций безопасности, как шифрование диска и безопасный биометрический вход с помощью Windows Hello.
«Аттестация» TPM может использоваться для удалённой аутентификации оборудования и программного обеспечения. TPM имеет уникальный ключ подтверждения (EK), встроенный в оборудование. Организации могут удалённо проверить и подтвердить, что устройство соответствует заявленному, и что аппаратное и программное обеспечение не было изменено. Например, это может быть особенно полезно для компании, управляющей парком рабочих ноутбуков.
TPM включает аппаратный генератор случайных чисел, от которого также может зависеть система. В современных смартфонах есть микросхемы безопасности, которые выполняют специализированные функции, так почему бы им не быть в компьютерах?
Зачем TPM нужен Windows 11?
Вот один пример: шифрование BitLocker может хранить ключи шифрования в TPM для защиты ваших файлов. Когда ваш компьютер загружается, ключ, хранящийся в TPM, используется для разблокировки вашего диска. Если злоумышленник выдернет ваш системный диск и вставит его в другой компьютер, злоумышленник не сможет расшифровать его и получить доступ к вашим файлам без ключей, хранящихся в TPM. TPM защищён от несанкционированного доступа, поэтому злоумышленник не может просто подключить его к другому компьютеру или легко извлечь из него ключ дешифрования.
Даже в Windows 10 BitLocker обычно не работает без TPM. Если все ПК с Windows 11 имеют TPM, то все ПК с Windows 11 могут изначально поддерживать шифрование устройства. Это намного лучше, чем ситуация с некоторыми компьютерами с Windows 10 с шифрованием диска, когда кто-то включает шифрование, а кто-то нет.
Доверенный платформенный модуль предоставит каждой системе Windows 11 базовый уровень аппаратной безопасности, на котором Microsoft будет опираться. Windows 11 всегда может предполагать, что у неё есть базовый уровень аппаратной безопасности. Microsoft не придётся создавать программные хаки поверх Windows 11 или оставлять такие важные функции, как шифрование диска, отключёнными на многих ПК.
Почему TPM 1.2 недостаточно хорош?
Через несколько дней после анонса Windows 11 обмен сообщениями Microsoft был повсеместным. Изначально на странице совместимости Microsoft с Windows 11 говорилось, что некоторые системы с TPM 1.2 можно будет обновить до Windows 11. Позже Microsoft отредактировала эту страницу и заявила, что потребуется TPM 2.0.
Веб-страница Microsoft, датированная 2018 годом, указывает на ряд преимуществ безопасности, которые TPM 2.0 имеет по сравнению с TPM 1.2, включая поддержку более современных криптографических алгоритмов. Поскольку TPM 2.0 обладает этими преимуществами и используется уже несколько лет, Microsoft явно считает, что имеет смысл требовать TPM 2.0.
Microsoft требует TPM на некоторых новых ПК с 2016 года
Microsoft уже несколько лет требует TPM 2.0 на ПК с Windows 10 — в некотором смысле.
С 28 июля 2016 г. на всех производимых новых ПК с Windows по умолчанию должен быть включён TPM 2.0. Если вы покупаете ноутбук, настольный компьютер, 2-в-1 или любое другое устройство с предустановленной Windows 10, Microsoft требует, чтобы производитель включил TPM 2.0 и активиировал его.
Однако это требование к производителю компьютера для лицензирования и поставки Windows на ПК. Если бы вы собирали свой собственный компьютер, вы могли бы купить материнскую плату без оборудования TPM и установить на неё Windows 10. Или производитель вашей материнской платы мог поставить оборудование с отключённым TPM.
Windows 10 нормально работала бы без TPM, тогда как Windows 11 откажется устанавливать в такой системе.
Есть ли на вашем компьютере TPM? Включён ли этот чип?
Если вы приобрели компьютер с Windows 10 в 2016 году или более поздней версии, есть большая вероятность, что на нем уже включён TPM 2.0, если только эта модель не была изначально сделана до установленной даты.
Если ваш компьютер старше этого возраста, он может иметь или не иметь TPM, который требуется для Windows 11. На многих ПК можно было обновить Windows 7 до Windows 10, и эти ПК, скорее всего, не получится обновить до Windows 11 из-за этого требования.
Однако люди, которые собрали свои собственные ПК — толпа, в которую входит множество компьютерных геймеров — могут оказаться в странной ситуации. Если вы собрали свой собственный компьютер (или приобрели его у компании, которая собрала его для вас), ваш компьютер может иметь или не иметь TPM 2.0. Даже если Windows сообщает, что TPM 2.0 отсутствует, его можно просто отключить по умолчанию, и вам может потребоваться включить его в BIOS вашего компьютера.
Чтобы узнать это, вам может потребоваться посетить BIOS вашего компьютера (технически это теперь экран настроек прошивки UEFI на современных компьютерах, но часто все ещё называется BIOS) и найти параметр с именем «TPM» или что-то подобное, которое включает эту функцию.
На некоторых компьютерах есть TPM на основе микропрограмм. Intel называет эту функцию iPPT (Intel Platform Protection Technology), а AMD — fTPM (Firmware Trusted Platform Module). Возможно, вам понадобится найти параметр с таким названием на экране настроек BIOS/UEFI. Это тоже может называться как-нибудь иначе — обратитесь к руководству по материнской плате для получения дополнительной информации.
Есть большая вероятность, что многие люди с более новыми ПК смогут включить TPM 2.0 в BIOS, не приобретая отдельный аппаратный модуль TPM — компонент, цена на который уже поднялась. Однако некоторые игровые материнские платы не поддерживают эту функцию, и она может быть недоступна. Теперь это обязательно нужно для Windows 11, но для сборщиков даже мощных ПК эта функция никогда не считалась обязательной.
Microsoft превратила ситуацию в запутанный беспорядок
Требование иметь TPM 2.0 в качестве базовой линии безопасности оборудования, которую Microsoft может разработать, имеет смысл. Помните, что Microsoft продолжит поддерживать Windows 10 до 14 октября 2025 года, поэтому вы можете продолжать использовать свой текущий компьютер и операционную систему в течение многих лет.
Настоящая проблема, опять же, в плохой коммуникации Microsoft. Например, если бы Microsoft предупредила людей, что однажды потребуется TPM 2.0, производители материнских плат, вероятно, не стали бы экономить на добавлении его в игровые платы. Энтузиасты ПК должны были убедиться, что в их сборках был TPM. Производители оборудования могли включить его по умолчанию, а не отключать по умолчанию. Можно сказать, что Microsoft послала этот сигнал своим партнёрам по оборудованию, но многие производители материнских плат не поняли это сообщение.
Объявление Windows 11 также было беспорядочным: Microsoft сначала заявила, что TPM 1.2 будет частично поддерживаться, но затем передумала. Microsoft поначалу даже не пыталась объяснить, зачем нужен TPM. Microsoft попыталась создать шумиху по поводу обновления, но официальный инструмент проверки работоспособности ПК загадочным образом сообщал, что компьютер не подходит для Windows 11, не сообщая людям, почему их ПК не поддерживался.
Microsoft также могла бы объяснить ситуацию и предоставить информацию о включении TPM 2.0 в BIOS вашего компьютера, но компания этого не сделала.
Системные требования Windows 11 напугали обязательной поддержкой TPM 2.0, но решение, похоже, есть
Вчера компания Microsoft представила свою новую настольную операционную систему Windows 11 и обнародовала её системные требования. Среди прочего для установки новой системы в ПК должен присутствовать модуль безопасности TPM 2.0, а материнская плата должна обладать поддержкой UEFI и функцией безопасной загрузки системы Secure Boot.
Для начала, чтобы проверить, совместима ли ваша система с Windows 11, можно уже сейчас загрузить с официального сайта Windows приложение PC Health Check. После запуска приложения нужно нажать на кнопку «Проверить сейчас», и если ваша система подходит, вы увидите сообщение, как на скриншоте ниже.
Если же появится сообщение о том, что ваша система не поддерживает будущую ОС, не стоит расстраиваться раньше времени. Причина может быть связана с упомянутыми TPM 2.0, UEFI и Secure Boot, и исправить проблему можно в несколько кликов.
UEFI представляет собой программу низкого уровня, которая отвечает за запуск всех компонентов ПК перед стартом загрузчика операционной системы. Она пришла на замену устаревшим BIOS и существует уже около 10 лет. Так что данное системное требование не должно стать препятствием для установки Windows 11 на большинство компьютеров.
Чтобы узнать, используется ли на компьютере UEFI, необходимо нажать Win + R и ввести в окне «Выполнить» команду msinfo32. В открывшейся утилите «Сведения о системе» будет указан режим BIOS — UEFI или «устаревший» (Legacy). Также возможен вариант, при котором в настройках UEFI выбран режим обратной совместимости BIOS (Legacy mode), который нужно будет переключить для установки Windows 11.
Что касается Secure Boot, то, как правило, данный режим является частью UEFI. Он защищает компьютер от исполнения неподписанного кода в процессе загрузки. В настройках UEFI он может быть не активирован по умолчанию, так что перед установкой Windows 11 его придётся включить. Проверить, включена ли безопасная загрузка можно той же командой msinfo32 (последняя строка на скриншоте выше).
Наконец, TPM 2.0 (Trusted Platform Module 2.0) — это криптографический модуль, который обеспечивает шифрование данных и обеспечивает защиту от взлома. Зачастую TPM представляет собой отдельную микросхему, однако сейчас существуют различные реализации платформы, как аппаратные, так и программные. Но как раз модуль шифрования может создать настоящие проблемы с установкой Windows 11, даже на современных ПК.
Если окажется, что TPM нет, не стоит расстраиваться. Как упоминалось выше, TPM может быть реализован программным способом — процессоры могут эмулировать работу чипов TPM, и просто эта функция может быть отключена. Активировать её можно в настройках UEFI материнской платы. Там она может скрываться под разными названиями, включая TPM, TPM Device, Trusted Platform Module, Security Chip, fTPM и PTT. Для активации программного TPM нужно выбрать режим Firmware TPM.
Однако не известно, как Windows 11 будет воспринимать эмулированные TPM, и не будет ли наличие аппаратного модуля обязательным условием для установки ОС. С этим определённости пока что нет. Ещё проблемы могут возникнуть у пользователей более старых систем, которые не поддерживают TPM 2.0, а лишь более ранние версии.
Тем не менее, даже если в вашей системе TPM нет или используется старая версия, шанс на установку Windows 11 сохраняется. В слитой ещё до анонса ранней версии Windows 11 обойти ограничения, связанные с TPM, можно подменой одной из библиотек в образе на старую из Windows 10. Для этого нужно:
Зачем Windows 11 нужен TPM 2.0
W indows 11 требует ПК с TPM 2.0. Так есть ли на Вашем компьютере TPM 2.0, TPM 1.2 или ничего из вышеперечисленного? Ваш компьютер поставляется с отключенным TPM в BIOS? Вам нужно купить аппаратный модуль TPM? И зачем вообще Windows вообще нужен TPM?
Что такое TPM
TPM означает «доверенный платформенный модуль». Это технология, обеспечивающая функции безопасности на аппаратном уровне. Он генерирует и хранит ключи шифрования и выполняет функции с защитой от несанкционированного доступа. Он обеспечивает дополнительную защиту от вредоносных программ и других типов атак.
В своем блоге Microsoft объясняет, что все системы Windows 11 будут иметь «аппаратный корень доверия». TPM — это защищенный от несанкционированного доступа элемент в ядре компьютера, который можно использовать для таких функций безопасности, как шифрование диска и безопасный биометрический вход с помощью Windows Hello.
«Аттестация» TPM может использоваться для удаленной аутентификации оборудования и программного обеспечения. TPM имеет уникальный ключ подтверждения (EK), встроенный в оборудование. Организации могут удаленно проверить и подтвердить, что устройство соответствует заявленному, и что аппаратное и программное обеспечение не было изменено. Например, это может быть особенно полезно для компании, управляющей парком рабочих ноутбуков.
TPM включает аппаратный генератор случайных чисел, от которого также может зависеть система. В современных смартфонах есть микросхемы безопасности, которые выполняют специализированные функции, так почему бы компьютерам их не использовать?
Зачем это нужно Windows 11
Вот один пример: шифрование BitLocker может хранить ключи шифрования в TPM для защиты Ваших файлов. Когда Ваш компьютер загружается, ключ, хранящийся в TPM, используется для разблокировки Вашего диска. Если злоумышленник выдернет Ваш системный диск и вставит его в другой компьютер, злоумышленник не сможет расшифровать его и получить доступ к Вашим файлам без ключей, хранящихся в TPM. TPM защищен от несанкционированного доступа, поэтому злоумышленник не может просто подключить его к другому компьютеру или легко извлечь из него ключ дешифрования.
Даже в Windows 10 BitLocker обычно не работает без TPM. Если все ПК с Windows 11 имеют TPM, то все ПК с Windows 11 могут изначально поддерживать шифрование устройства. Это намного лучше, чем ситуация с некоторыми компьютерами с Windows 10, оснащенными шифрованием диска, в то время как другие не включают шифрование.
Доверенный платформенный модуль предоставит каждой системе Windows 11 базовый уровень аппаратной безопасности, на который Microsoft будет опираться. Windows 11 всегда может предполагать, что у нее есть базовый уровень аппаратной безопасности. Microsoft не придется создавать программные обходы поверх Windows 11 или оставлять такие важные функции, как шифрование диска, отключенными на многих ПК.
Почему TPM 1.2 недостаточно хорош
Через несколько дней после анонса Windows 11 на странице совместимости Microsoft с Windows 11 говорилось, что некоторые системы с TPM 1.2 можно будет обновить. Позже Microsoft отредактировала эту страницу и заявила, что потребуется TPM 2.0.
Веб-страница Microsoft, датированная 2018 годом, указывает на ряд преимуществ безопасности, которые TPM 2.0 имеет по сравнению с TPM 1.2, включая поддержку более современных криптографических алгоритмов. Поскольку TPM 2.0 обладает этими преимуществами и используется уже несколько лет, Microsoft явно считает, что имеет смысл требовать TPM 2.0.
Microsoft требует TPM на некоторых новых ПК с 2016 года
Microsoft уже несколько лет требует TPM 2.0 на ПК с Windows 10.
С 28 июля 2016 г. на всех производимых новых ПК с Windows по умолчанию должен быть включен TPM 2.0. Если Вы покупаете ноутбук, ПК, 2-в-1 или любое другое устройство с предустановленной Windows 10, Microsoft требует, чтобы производитель включил TPM 2.0.
Однако это требование к производителю компьютера для лицензирования и поставки Windows на ПК. Если бы Вы собирали свой собственный компьютер, Вы могли бы купить материнскую плату без оборудования TPM и установить на нее Windows 10. Или производитель Вашей материнской платы мог поставить оборудование с отключенным TPM.
Windows 10 нормально работала бы без TPM, тогда как Windows 11 откажется устанавливать в такой системе.
Есть ли на Вашем компьютере TPM? И включен или он?
Если Вы приобрели компьютер с Windows 10 в 2016 году или позже, велика вероятность, что на нем уже включен TPM 2.0, если только эта модель не была изначально сделана до установленной даты.
Если Ваш компьютер старше этого возраста, он может иметь или не иметь TPM, который требуется для Windows 11. Многие ПК обновили Windows 7 до Windows 10, и эти ПК, скорее всего, останутся без обновления из-за этого требования.
Однако люди, которые собрали свои собственные ПК — множество компьютерных геймеров — могут оказаться в странной ситуации. Если Вы собрали свой собственный компьютер (или приобрели его у компании, которая собрала его для Вас), Ваш компьютер может иметь или не иметь TPM 2.0. Даже если Windows сообщает, что TPM 2.0 отсутствует, его можно просто отключить по умолчанию, и Вам может потребоваться включить его в BIOS Вашего компьютера.
Чтобы узнать это, Вам может потребоваться зайти в BIOS Вашего компьютера (технически это теперь экран настроек микропрограммы UEFI на современных компьютерах, но часто все еще называется BIOS) и поискать параметр под названием «TPM» или что-то подобное, который включает эту функцию.
На некоторых компьютерах есть TPM на основе микропрограмм. Intel называет эту функцию iPPT (Intel Platform Protection Technology), а AMD — fTPM (Firmware Trusted Platform Module). Возможно, Вам понадобится найти параметр с таким названием на экране настроек BIOS/UEFI. Он тоже может назвываться как-нибудь иначе — обратитесь к руководству по материнской плате для получения дополнительной информации.
Есть большая вероятность, что многие люди с более новыми ПК смогут включить TPM 2.0 в BIOS, не приобретая отдельный аппаратный модуль TPM. Однако некоторые игровые материнские платы не поддерживают эту функцию, и она может быть недоступна.
Microsoft создала запутанную путаницу
Требование иметь TPM 2.0 в качестве базовой линии безопасности оборудования, которую Microsoft может разработать, имеет смысл. Помните, что Microsoft продолжит поддерживать Windows 10 до 14 октября 2025 года, поэтому Вы можете продолжать использовать свой текущий компьютер и операционную систему в течение многих лет.
Настоящая проблема, опять же, в плохой коммуникации Microsoft. Например, если бы Microsoft предупредила людей, что однажды потребуется TPM 2.0, производители материнских плат, вероятно, не стали бы экономить на добавлении его в игровые платы. Энтузиасты ПК должны были убедиться, что в их сборках был TPM. Производители оборудования могли включить его по умолчанию, а не отключать по умолчанию.
Объявление о Windows 11 также было странным: Microsoft сначала заявила, что TPM 1.2 будет частично поддерживаться, но затем передумала. Microsoft поначалу даже не пыталась объяснить, зачем нужен TPM. После того, как Microsoft попыталась создать шумиху по поводу обновления, официальный инструмент проверки работоспособности ПК загадочным образом отказал, не сообщая людям, почему их ПК не поддерживался.
Microsoft также могла бы объяснить ситуацию и предоставить информацию о включении TPM 2.0 в BIOS Вашего компьютера, но компания этого не сделала.