Что такое TPM и как его использовать в Windows

В этой статье:

Что такое Trusted Platform Module?

Как правило, данный модуль представляет собой самостоятельный чип, находящийся на материнской плате. Он является своеобразным генератором и одновременно хранилищем ключей шифрования, использующихся в работе систем защиты данных. Например, при работе сканера отпечатка пальцев, при активации функции распознавания лиц или при шифровании данных на жестком диске.

Обратите внимание, что недалеко от опции, отвечающей за активацию TPM устройства, всегда присутствует опция очистки хранилища уже сгенерированных ключей – Clear TPM.

Пользоваться ей стоит с особой осторожностью. Ведь если удалить ключи, участвующие в активных опциях защиты и шифрования данных, то можно потерять доступ к этим данным и функциям.

Обычно для TPM Device доступно два значения:

  1. Enabled или Available, что значит включена или доступна;
  2. Disabled или Hidden, означающие отключение или скрытие.

Почти всегда по умолчанию параметр TPM Device активирован (enabled/available). Для исключения возникновения проблем с доступом к различным защищенным данным отключать его лучше не стоит.

Внешний вид чипа

Вот его величество сам чип TPM (отдельно, не на материнке):

Хм, интересно, а возможно ли купить новый.. и заменить? Ну например если старый поломался там, сгорел… и смотря на эту картинку, кажется что купить таки можно:

Ну что я могу тут сказать? Круто в общем Но если новый купить чип, то можно будет ли расшифровать данные, которые были зашифрованы старым чипом? А вот это уже вопрос нереально серьезный!

Вот собственно чип на материнской плате:

Судя по внешнему виду и конструкции — заменить его реально в домашних условиях так бы сказать

1 Включение модуля TPM в BIOS компьютера

Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется “Security”. В этом разделе должна быть опция, которая называется “Security Chip”.

Настройки безопасности в BIOS
Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

  • Выключен (Disabled).
  • Включён и не задействован (Inactive).
  • Включён и задействован (Active).

В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».

Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

Очистка памяти чипа TPM
Очистка памяти чипа TPM

Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

Теперь сохраните изменения (“Save and Exit” или клавиша F10) и перезагрузите компьютер.

После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».

Чип TPM в диспетчере устройств Windows
Чип TPM в диспетчере устройств Windows

First Boot Device в биосе что это?

Все про BIOS

First Boot Device в биосе что это

2 Инициализация модуля TPM в Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

Здесь, кстати, можно почитать дополнительную информацию – что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

Оснастка для управления чипом TPM
Оснастка для управления чипом TPM

Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

Инициализация модуля TPM через оснастку
Инициализация модуля TPM через оснастку

Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

Пароль TPM сгенерирован, инициализация
Пароль TPM сгенерирован, инициализация

По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

Пароль владельца для TPM создан
Пароль владельца для TPM создан

Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

Инициализация TPM завершена
Инициализация TPM завершена

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

При включении компьютера два коротких сигнала

Все про BIOS

При включении компьютера два коротких сигнала

Что означают 4 длинных сигнала BIOS?

Все про BIOS

Что означают 4 длинных сигнала BIOS

Опция в биосе TPM Device

Ну а вот сама и опция Trusted Platform Module в биосе — можно включить (Enabled) или выключить (Disabled):

Может быть название и TPM Device или.. TPM Embedded Security (сори за качество господа):

Еще в биосе может присутствовать опция Discrete TPM FW Switch (раздел Security):

Выяснил, Discrete TPM FW Switch — управление дискретным чипом. Дискретный, то есть это тот чип что можно поменять, снимаемый так бы сказать. Тут мысль меня посетила — а на материнке могут присутствовать два чипа TPM? Интегрированный и дискретный? И вот управление ими происходит в биосе.. не знаю короч..

Еще пример — опции TPM SUPPORT, TPM State, Pending TPM operation:

Вывод — опции зависят от материнки. Если чип TPM включен в биосе, тогда у вас в диспетчере устройств (чтобы запустить — Win + R > devmgmt.msc) будет такое устройство в разделе Security devices:

Как видите напротив устройства указывается версия — выше на картинке устаревшая 1.2, а у вас может быть современная 2.0 (зависит от года выпуска материнки). Так, стопачки! Если версия чипа устаревшая, то возможно заменить старый чип на новый реально? Просто мысли, однако думаю что замена вполне себе реальна..

Еще в разделе System devices может быть Infineon Trusted Platform Module:

В каких случаях может потребоваться очистка TPM

Если вы захотите продать свой компьютер, наверняка вы приложите все усилия для того чтобы максимально надежно удалить с него всю личную информацию. Учитывая тот факт, что при наличии соответствующих знаний и опыта ключи BitLocker могут быть извлечены из доверенного модуля, вполне разумным делом перед передачей ПК в чужие руки станет полное их удаление. В остальных случаях, если только у вас не возникли проблемы с работой модуля очищать его не рекомендуется.

Как очистить TPM

Очистить TPM можно разными способами, например, в BIOS(выбрав опцию Clear Security Chip).

BIOS - Clear Security Chip

И непосредственно из работающей операционной системы. Для этого в запущенной от имени администратора PowerShell выполняем простую команду clear-tpm.

PowerShell - clear-tpm

Также вы можете зайти в Центр безопасности Защитника Windows 10, выбрать там раздел «Безопасность устройства», зайти в дополнительные настройки обработчика безопасности и нажать там кнопку очистки TPM.

Очистка TPM

В более ранних версиях Windows выполнить эту процедуру можно из интерфейса оснастки управления доверенным модулем, выбрав в правой колонке опцию «Очистить TPM».

Настройки Trusted Platform Module

Чисто случайно узнал, что оказывается в Windows есть настройки Trusted Platform Module, а то даже и не знал! Как открыть настройки? Зажимаете кнопки Win + R, далее вставляете командушку:

tpm.msc

У себя открыл и тут опачки, у меня пишет что Не удается найти совместимый доверенный платформенный модуль:

Вот блина, попадос конкретный Я просто думал что модуль.. нет, ну наверно модуль то у меня есть! Но он в биосе видимо не включен. Ну и ладненько.. А вы посмотрите у себя, у вас там что будет? ну настройки будут? Гляньте, окей?

И еще — там в настройках можно очистить данные TPM. Я надеюсь вы понимаете что этого делать не нужно, если вы не шарите в этом. Иди знай что за данные там. А может у вас что-то зашифровано на ПК и если очистите данные, то потом не сможете расшифровать. В общем — я вас предупредил

Для нормальный работы TPM нужно чтобы было в виндовсе установлено специальное обновление. Оно как бы способно установится автоматически. А если нет — то нужно скачать с сайта производителя вашей материнки. Тут просто под обновлением как я понимаю имеется ввиду драйвер TPM, ведь виндовс и дрова ставить умеет, подтягивая их с интернета..

Некоторые выводы и мои мысли по поводу Trusted Platform Module

Напишу все что я думаю об этом всем, окей? Смотрите:

  1. Как я понимаю то чип есть на всех материнских платах. Или вернее почти на всех.
  2. Чип участвует в работе некоторых алгоритмов шифрования.
  3. Чип, как я понимаю, хранит супер важную инфу, верно? Вполне возможно что он способен хранить такие данные как отпечатки пальцев, контур лица (при входе в виндовс используя веб-камеру, есть такая технология). Не исключено что способен и отпечаток глаза хранить, в некоторых ноутах есть такая крутая система защита..
  4. Модуль располагается на материнке. Но в биосе при этом может быть выключенным. Нужно ли его включать? Без необходимости — нет.

Календарь

Забронировать номер –>

Лицензия

Рекомендуемые публикации:

Что делать, если к панели поиска Windows 10 2004 не применяется темная тема
Как настроить только что установленную Windows 10 в полуавтоматическом режиме
Как получить список установленных в Windows 10 десктопных и UWP-программ с помощью PowerShell
Как обычному пользователю Windows получить права администратора, чтобы об этом не узнал владелец компьютера

Источники:

  • https://helpadmins.ru/tpm-device-v-bios-chto-jeto/
  • http://VirtMachine.ru/trusted-platform-module-2-0-chto-eto-takoe-to.html
  • https://soltau.ru/index.php/themes/kompyutery-i-programmy/item/501-chto-takoe-tpm-i-kak-ego-mozhno-ispolzovat
  • https://www.white-windows.ru/kak-ochistit-tpm-v-windows-8-1-i-10/
  • http://al-tm.ru/stati/stati-po-setyam/trusted-platform-module