Что такое TPM и как он связан с UEFI и Windows 11

Опубликовано: BIOS и UEFI
Содержание
  1. Что такое TPM простыми словами
  2. У TPM есть два варианта реализации
  3. 1. Аппаратный TPM (чип на материнской плате)
  4. 2. Firmware TPM — fTPM (AMD) / PTT (Intel)
  5. Что делает TPM «под капотом»
  6. 1. Хранение криптографических ключей
  7. 2. Измерение загрузки (Boot Measurement)
  8. 3. Участие в Secure Boot
  9. 4. Шифрование дисков (BitLocker)
  10. 5. Верификация Windows Hello и Passkeys
  11. Как TPM связан с UEFI
  12. UEFI создаёт платформу доверенной загрузки
  13. TPM расширяет эту безопасность
  14. Почему Windows 11 требует TPM 2.0
  15. 1. Защита загрузки (Windows Boot Security)
  16. 2. Изоляция шифрования и биометрии
  17. Минимальные требования Windows 11:
  18. Как узнать, есть ли TPM
  19. Способ 1. Через команду
  20. Способ 2. В Windows Security
  21. Способ 3. Через BIOS/UEFI
  22. Как включить TPM в BIOS/UEFI
  23. Intel:
  24. AMD:
  25. Когда TPM вызывает проблемы
  26. 1. Лаги и микрофризы на AMD Ryzen (fTPM баг)
  27. 2. Блокировка загрузки после изменения BIOS
  28. 3. TPM может быть заблокирован
  29. Можно ли отключить TPM?
  30. Технически: да.
  31. Стоит ли бояться TPM?
  32. Итог

TPM влетел в жизнь пользователей шумно — вместе с релизом Windows 11. Стало казаться, что без него не поставить систему, не пройти проверку и вообще «компьютер устарел». Но TPM — это не «новая мода Microsoft», а фундаментальная часть современной архитектуры безопасности, связанная с UEFI, аппаратной криптографией и защитой загрузки. Чтобы перестать воспринимать TPM как нечто загадочное и пугающее, стоит спокойно разобрать, что это за модуль, чем он занимается и почему Windows 11 так настаивает на его наличии.

Что такое TPM простыми словами

TPM (Trusted Platform Module) — это криптографический чип или встроенная подсистема, которая выполняет две главные функции:

  1. Хранит ключи шифрования так, чтобы их невозможно было украсть из Windows.
  2. Проверяет целостность системы перед загрузкой, чтобы на ПК не запускался модифицированный BIOS, загрузчик или вредонос.

Проще говоря: TPM — это маленький «сейф» внутри компьютера, который защищает ключи, пароли, сертификаты и участвует в безопасной загрузке.

У TPM есть два варианта реализации

1. Аппаратный TPM (чип на материнской плате)

Устанавливается в специальный разъём TPM Header.
Встречается на старых и корпоративных платах.

2. Firmware TPM — fTPM (AMD) / PTT (Intel)

Это программный TPM, встроенный в процессор и работающий через UEFI.

Сегодня именно fTPM/PTT используется почти везде: ноутбуки, домашние ПК, новые материнки.

Функции и безопасность — такие же, как у аппаратной версии.

Что делает TPM «под капотом»

TPM участвует в десятках задач, но ключевые — следующие.

1. Хранение криптографических ключей

TPM хранит ключи BitLocker, Windows Hello, сертификаты авторизации.
Если злоумышленник вытащит диск и подключит к другому ПК — данные всё равно останутся зашифрованы.

2. Измерение загрузки (Boot Measurement)

TPM записывает в своё внутреннее хранилище контрольные суммы:

  • BIOS/UEFI,
  • загрузчика Windows,
  • драйверов ранней загрузки.

Если что-то изменено — TPM фиксирует несоответствие.

Это предотвращает:

  • руткиты UEFI,
  • подмену загрузчика,
  • внедрение вредоносных модулей.

3. Участие в Secure Boot

Secure Boot проверяет подписи загрузчиков, а TPM хранит ключи и подтверждает доверенную цепочку загрузки.

4. Шифрование дисков (BitLocker)

Windows использует TPM для хранения ключей шифрования.
Без него BitLocker просит пароль каждый запуск.
С ним — ключ читается автоматически, если загрузка доверенная.

5. Верификация Windows Hello и Passkeys

Пароли, ключи хранения биометрии — всё завязано на TPM.

Как TPM связан с UEFI

Связь более тесная, чем кажется.

UEFI создаёт платформу доверенной загрузки

UEFI отвечает за:

  • Secure Boot,
  • проверку цифровых подписей,
  • конфигурацию NVRAM,
  • управление виртуализацией и безопасностью.

TPM расширяет эту безопасность

TPM хранит ключи Secure Boot, проверяет целостность загрузочных компонентов и ведёт логи проверки (PCR — Platform Configuration Registers).

Их работа синхронна:

  1. UEFI начинает загрузку.
  2. TPM фиксирует контрольные суммы.
  3. Secure Boot подтверждает подписи.
  4. Windows Boot Manager сверяет результаты с PCR.
  5. Операционная система получает подтверждение о доверенности старта.

Если цепочка нарушена — загрузка блокируется или требует ключ BitLocker.

UEFI без TPM — это безопасность наполовину: загрузчик проверяется, но ключи негде хранить безопасно.
TPM без UEFI — есть ключи, но нет проверяющей среды.

Они друг друга дополняют.

Почему Windows 11 требует TPM 2.0

Блокировка установки Windows 11 на ПК без TPM — не каприз.

Для Microsoft TPM — фундамент двух ключевых технологий:

1. Защита загрузки (Windows Boot Security)

Windows 11 усилила защиту цепочки загрузки.
TPM нужен, чтобы исключить тайные модификации загрузчика.

2. Изоляция шифрования и биометрии

Windows 11 делает ставку на:

  • Windows Hello,
  • Passkeys,
  • Credential Guard,
  • аппаратные контейнеры безопасности.

Эти технологии не могут полноценно работать без TPM.

Минимальные требования Windows 11:

  • UEFI (Legacy не подходит)
  • Secure Boot
  • TPM 2.0

Microsoft усиливает защиту платформы, потому что атаки на уровне загрузки и прошивок стали слишком изощрёнными.

Как узнать, есть ли TPM

Способ 1. Через команду

Открыть PowerShell:

tpm.msc

Если TPM есть — откроется окно с информацией.

Способ 2. В Windows Security

Параметры → Обновление и безопасность → Безопасность устройства
Раздел «Безопасный процессор».

Способ 3. Через BIOS/UEFI

Для Intel:

  • PTT или Platform Trust Technology

Для AMD:

  • fTPM или Firmware TPM

Как включить TPM в BIOS/UEFI

Процесс прост:

Intel:

  1. Зайти в BIOS.
  2. Открыть Advanced / Security.
  3. Включить Intel Platform Trust Technology (PTT).

AMD:

  1. BIOS → Advanced / Security.
  2. Пункт AMD fTPM → Enabled.

Затем сохранить настройки и перезагрузить ПК.

Когда TPM вызывает проблемы

Встречаются редкие, но неприятные моменты.

1. Лаги и микрофризы на AMD Ryzen (fTPM баг)

Были известные проблемы с fTPM на Ryzen 3000–5000, когда система подвисала из-за задержек в работе чипа.

Решение:
Обновление BIOS — AMD исправила проблему в новых прошивках.

2. Блокировка загрузки после изменения BIOS

BitLocker может запросить ключ восстановления, если:

  • включили/выключили Secure Boot,
  • поменяли режим загрузки,
  • обновили BIOS.

Это нормальное поведение: TPM замечает изменение цепочки доверия.

3. TPM может быть заблокирован

Редко — после нескольких неудачных попыток загрузки.

Решение:
сброс TPM в BIOS или через Windows (Security Processor Reset).

Можно ли отключить TPM?

Технически: да.

На большинстве плат пункт:

  • Intel PTT → Disabled
  • AMD fTPM → Disabled

Но!
Windows 11 будет работать хуже (или не будет ставиться), а BitLocker может потребовать ключ.

Отключение TPM полностью не рекомендуется.

Стоит ли бояться TPM?

Нет.
TPM — это надёжный фундамент безопасности, а не скрытая угроза.

Ни Windows, ни производители плат, ни TPM сам по себе не отправляют данные наружу.
Подсистема занимается только криптографией и проверкой целостности.

TPM — это аналог Secure Enclave в Apple или TrustZone в Android: обязательная часть современной защиты.

Итог

TPM — это не нововведение Windows 11, а давно существующая технология, которая обеспечивает доверенную загрузку, безопасное хранение ключей, работу BitLocker, Windows Hello и современных криптографических механизмов.

Связка TPM + UEFI формирует защищённую среду старта системы, а Windows 11 делает эту связку обязательной для всех новых установок.

Когда понимаешь, как работают TPM, UEFI и Secure Boot вместе, архитектура безопасности перестаёт казаться набором ограничений — это становится логичной системой защиты, скрытой от глаз, но очень важной.

0
Понравилась статья? Поделиться с друзьями:
Блог одного ITшника
Вам также может быть интересно
BIOS и UEFI 0
Legacy BIOS на современных ПК: ограничения и проблемы
Мир ПК давно перешёл на UEFI, но в настройках до сих пор прячется опция
BIOS и UEFI 0
Как работают ключи Secure Boot и почему иногда всё падает
Secure Boot — это не «строгий охранник», а целая система цифровых подписей внутри UEFI,
BIOS и UEFI 0
Этапы загрузки UEFI: PEI, DXE, BDS простыми словами
Когда включается компьютер, кажется, что он просто «просыпается», показывает логотип и запускает Windows. Но
BIOS и UEFI 0
UEFI Shell: базовые команды и сценарии использования
UEFI Shell — это скрытый, но чрезвычайно мощный инструмент, встроенный во многие прошивки UEFI.
BIOS и UEFI 0
Как включить аппаратную виртуализацию в BIOS/UEFI
Аппаратная виртуализация — это ключ к полноценной работе виртуальных машин. Без неё VirtualBox, VMware,
BIOS и UEFI 0
Secure Erase SSD через UEFI: когда и как применять
Secure Erase — это не «форматирование» в привычном смысле, а аппаратная команда, встроенная в
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Популярное:
Главная Блог О сайте Контакты
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.