- TPM 2.0 是一種硬體安全模組,可作為金鑰、密碼和敏感資料的數位保險箱。
- Windows 11 需要 TPM 2.0 才能啟用 BitLocker、安全性啟動、Windows Hello 和進階憑證保護等功能。
- 許多現代設備已經包含 TPM 2.0,儘管有時它被停用,必須從 UEFI/BIOS 中啟動。
- 沒有 TPM 2.0 的電腦不符合 Windows 11 的官方要求,必須繼續使用 Windows 10 或升級硬體。
如果您正在考慮升級到 Windows 11,您可能已經遇到過那條令人頭疼的提示訊息,說您的電腦需要… 必須啟用 TPM 2.0 才能安裝系統當然,人們很可能會想:這是什麼?為什麼現在是強制性的?如果我的電腦沒有安裝它或找不到它,會發生什麼事?
在最新版本的 Windows 系統中,這個小元件已經從幾乎無人知曉變成了… 這是安全的關鍵組成部分,也是必要的技術要求。這聽起來可能很專業,但其基本原理很簡單:它就像電腦裡的保險箱,存放著所有重要資訊的鑰匙。
TPM是什麼?它在計算機中扮演什麼角色?
縮寫 TPM 來自 可信平台模塊, que podríamos traducir como 整合到主機板上的可信任平台模組這是一個整合到處理器中的晶片或功能,它充當安全加密處理器,也就是一個專門用於安全和加密操作的微型處理器。
該模塊負責 建立、儲存和保護加密金鑰、密碼、憑證和其他敏感數據 作業系統需要確保未經許可,任何人即使能夠實際接觸計算機,也無法存取您的資訊。
TPM並非一項新發明: 它已被使用了多年。 加強硬體安全的專業環境,尤其是在公司和公共管理部門。然而,隨著 Windows 11 的到來,它變得尤為重要,因為微軟已將其作為正式安裝該系統的強制性要求。
從物理角度來看,TPM可以表示為 焊接在主機板上的獨立晶片,或插入特定連接器的模組在許多現代設備中,尤其是筆記型電腦,TPM 功能已經整合到 CPU 中(Intel PTT、AMD fTPM),儘管有時預設是禁用的,必須從 UEFI/BIOS 中啟用。
TPM究竟有什麼作用?為什麼它如此重要?
TPM最有趣的地方在於它扮演這樣的角色: 用於儲存加密金鑰和身份驗證資訊的安全隔離儲存庫儲存在晶片上的密鑰無法被作業系統或應用程式直接存取:它們只能透過晶片本身的特定命令來使用。
每個TPM都包含 與特定裝置關聯的自有加密金鑰其中之一就是所謂的 背書密鑰 (EK)是出廠時產生並保存在晶片內的唯一RSA金鑰對,軟體無法存取。其他密鑰,例如所謂的 儲存根密鑰此密鑰用作加密模組中儲存的其餘密鑰的基礎。
此外,TPM還可以產生 認證身份金鑰 (AIK)此晶片用於可靠地檢查系統的啟動狀態。該晶片計算: 在啟動過程中對韌體、UEFI 和作業系統關鍵部分進行雜湊或測量。並能將這些測量結果傳送到伺服器,由伺服器檢查一切是否符合預期。如果偵測到可疑變化,則該裝置被認為可能已被入侵。
由於這種設計,TPM 在防護方面非常有效,可以抵禦… 韌體攻擊等現代威脅 進階勒索軟體篡改啟動過程或透過實體存取竊取數據攻擊者可能已經掌握了硬碟,但如果沒有 TPM 中的金鑰,加密資料仍然毫無用處。
TPM 標準不僅定義了晶片,而且還定義了其他方面。 由可信任運算組織(TCG)維護的一整套規範和指令一個負責更新和擴展這些標準以使其適應新的安全需求的非營利組織。
TPM 1.2 與 TPM 2.0:為什麼 Windows 11 需要新版本
多年來,流傳最廣的版本是 TPM 1.2,甚至被標準化為國際標準 ISO/IEC 11889該版本已經可以保護金鑰、加密資料和驗證系統完整性,但在加密演算法和可提供的功能方面比較有限。
跳到 TPM 2.0 在功能和靈活性方面實現了顯著提升。除其他改進外,新標準允許互換使用不同的加密演算法,而不是像 TPM 1.2 那樣實際上與 SHA-1 綁定,這對於更好地抵禦現代攻擊至關重要。
TPM 2.0 也包含 改進金鑰管理、生物辨識資料保護和簽名驗證它不僅適用於桌上型電腦和筆記型電腦,還適用於資源較為有限的設備,例如平板電腦或嵌入式系統。
這就是為什麼微軟決定在 Windows 11 中這樣做的原因: 可接受的最低硬體級安全標準是 TPM 2.0。雖然 Windows 在技術上可以與 TPM 1.2 搭配使用,但最先進的安全功能和未來的平台增強功能已依賴 2.0 版本的擴充功能。
實際上,這意味著從電源角度來看,配備 TPM 1.2 的電腦可能能夠運行 Windows 11,但… 它不符合官方的系統安全要求。而且,安裝路徑將超出微軟支援的路徑範圍。
Windows 日常使用 TPM 做什麼?
在 Windows 10 中,尤其是在 Windows 11 中,TPM 與許多安全功能整合在一起。雖然你不會經常看到它,但是 它在後台運行,以保護您的資料和身分。.
其中最顯而易見的功能之一是 BitLocker的Windows 磁碟機加密系統啟用 BitLocker 後,磁碟內容將會加密,解密金鑰則由 TPM 儲存(或保護)。這樣,即使有人偷走了磁碟或筆記型電腦,即使他們將硬碟連接到另一台計算機,也無法在沒有儲存在模組中的金鑰的情況下存取資料。
TPM也用於 Windows Hello 是一種支援臉部辨識、指紋辨識或 PIN 碼的登入系統。生物辨識資料和相關金鑰透過晶片與您裝置的硬體相連,這使得它們更難被竊取或在其他裝置上重複使用。
另一個關鍵因素是它與…的關係 安全啟動與循序漸進啟動安全啟動確保在初始啟動階段僅載入已簽署和受信任的軟體,而測量啟動則會將每個運行組件的測量資料記錄到 TPM 中。這使得在系統啟動過程中能夠偵測到惡意軟體注入嘗試。
此外,Windows 可以將 TPM 與以下技術結合使用: 憑據守衛 或基於虛擬化的憑證保護在這種情況下,密碼和存取權杖被隔離在受保護的環境中,TPM 充當加密信任根,使得攻擊者更難竊取憑證。
其他常見用途包括 用於企業資源身份驗證的虛擬智慧卡防止字典攻擊,防止密碼被破解;或安全儲存 VPN 連線、數位簽章電子郵件和安全瀏覽所需的憑證和金鑰。
不同類型的TPM實施
雖然我們總是把「TPM」當作一個單獨的晶片來談論,但實際上 實作方式有多種,每種方式都有其自身的安全特性。它們都遵循 TCG 規範,但在物理或邏輯層面上有所不同。
一邊是 分離式TPM,即專用晶片 焊接在主機板上。理論上,這是最安全的選擇,因為它們的設計能夠抵抗物理篡改,並降低與其他組件共享空間而導致的錯誤幾率。
另一個非常普遍的選擇是 整合到主CPU中的TPM它整合了自己的安全機制,提供了接近分立晶片的保護水平,但降低了成本,並為製造商帶來了便利。
也有 基於韌體的TPM,運行在CPU的可信任執行環境中。它們仍然相當安全,對於普通用戶而言,能夠為日常和專業用途提供足夠的保護。
安全性較低的是 TPM 完全由軟體實現它們基本上模擬了模組的行為,但對硬體缺乏強大的信任基礎,因此容易受到外部攻擊或作業系統本身的漏洞的影響。
最後,在虛擬化環境中,通常會使用 虛擬機器管理程式提供的虛擬TPM這樣一來,虛擬機器就可以擁有類似的功能,而無需為每個虛擬機器配備單獨的實體晶片。
為什麼 Windows 11 強制要求使用 TPM 2.0?
Windows 11 的最大變化在於: 微軟不再將TPM視為可選項,而是將其視為基本安全要求。其理念是,運行該系統的所有設備都將擁有硬體級的信任根,以更好地抵禦當前的威脅形勢。
如今,攻擊不再局限於單純的病毒;我們指的是… 複雜的勒索軟體,一種附著在韌體上的惡意軟體,試圖透過利用配置漏洞竊取憑證和遠端存取權限。在這種情況下,僅僅依靠安全軟體已經不夠了,因此微軟致力於將保護功能直接整合到硬體中。
透過要求使用 TPM 2.0,Windows 11 確保了諸如以下功能: BitLocker、Windows Hello、安全啟動、計量啟動、憑證保護以及其他基於虛擬化的技術無需取決於每個製造商或用戶是否決定啟動它們。
在2016年以後生產的許多設備中,尤其是商業用途的筆記型電腦和桌上型電腦, TPM 2.0 出廠時已內置,但有時會被停用。在其他情況下,尤其是在用零件組裝的計算機或幾年前的中低端主機板上,該模組默認情況下並未集成,必須使用特定的連接器添加。
許多用戶投訴都源自於此。 效能非常強大的電腦,完全能夠運行 Windows 11。然而,他們發現這些設備無法通過篩選,因為它們缺少 TPM 2.0 或在 UEFI/BIOS 中禁用了 TPM 2.0。
如何透過 Windows 系統判斷你的電腦是否配備了 TPM 2.0?
在斷定您的電腦與 Windows 11 不相容之前,值得先檢查一下它是否真的相容。 它是否具備 TPM 2.0?如果具備,目前啟動的是哪個版本?Windows 提供了多種無需安裝任何軟體即可實現此操作的方法。
最簡單的方法之一是使用 TPM 的 Microsoft 管理控制台:
1. 按下組合鍵 的Windows + R 開啟“運行”對話框。
2.寫 tpm MSC (不含引號)然後按回車鍵。
3. 安全平台模組管理視窗將會開啟。
如果該視窗中出現類似這樣的訊息 “找不到相容的TPM”或“未找到相容的TPM”這可能意味著兩種情況:您的裝置沒有此模組,或者該模組在韌體設定中被停用。如果是後者,您需要進入 UEFI/BIOS 設定中啟用它。
另一方面,如果控制台顯示: “TPM 已準備就緒”,並顯示製造商資訊您需要查看“規格版本”欄位。如果顯示為 2.0,則您的電腦符合 Windows 11 的此要求;如果版本號較低(例如 1.2),則裝置無法達到所需的安全等級。
另一個選擇是 具有管理員權限的 PowerShell以管理員身分開啟 PowerShell,輸入指令 get-tpm 然後按回車鍵。在顯示的數據中,查看該值。 TpmPresent如果顯示為“False”,則表示該模組不在主機板上;如果顯示為“True”,則表示該模組存在,您也可以檢查其狀態和特性。
您還可以檢查 Windows 安全應用程序,位於「裝置安全」和「安全處理器」部分如果此部分未顯示,則 TPM 可能缺失或已停用;如果顯示,您可以前往「安全處理器詳細資料」以查看規範版本。
如何在UEFI/BIOS中啟動TPM 2.0
如果您的檢查表明 TPM 不可用,但您懷疑您的電腦比較新,則該模組可能是罪魁禍首。 只需在韌體設定中停用即可。在許多用戶組裝的電腦或消費性主機板上,此功能預設是關閉的。
要更改此設置,您需要進入… 進入裝置的 UEFI/BIOS,找到與 TPM 或平台安全相關的選項。特定路徑因製造商而異,但在 Windows 系統中,您可以前往“設定”>“更新和安全性”>“恢復”,然後在“進階啟動”下使用“立即重新啟動”選項。
重啟後,選擇 疑難排解 > 進階選項 > UEFI 韌體設定 > 重新啟動這將帶您進入韌體選單,您需要在其中查找諸如安全、高級設定或類似選項。每個製造商使用的名稱略有不同,因此請耐心查找。
在配備英特爾處理器的電腦上,此功能通常顯示為: “Intel PTT”或“Intel平台信任技術”以 AMD 為例,這種情況常出現: “AMD fTPM”或“AMD PSP fTPM”您也可以透過「安全設備」、「安全設備支援」、「TPM 狀態」或「可信任計算」等標籤來查看它。
找到該選項後,您需要… 將其狀態變更為“已啟用”,儲存更改,然後重新啟動電腦。之後,當您返回 Windows 時,您應該能夠從 tpm.msc 或 Windows 安全中心應用程式中看到 TPM,並確認它符合 2.0 規範。
還要記住,在許多設備上 TPM 與安全啟動系統協同工作。如果安全啟動已停用,模組相關選項可能不會顯示或無法正常運作。在這種情況下,建議先啟用安全啟動,然後再檢查 TPM 狀態。
哪些計算機通常包含 TPM 2.0?需要滿足哪些要求?
一般來說,認為 2018 年及以後生產的大多數電腦都已整合 TPM 2.0 或其整合等效版本。如果你的電腦使用年限不到五、六年,即使關閉此功能,它很可能也具備此功能。
另一個線索來自處理器: 從第八代開始,英特爾處理器通常設計為透過英特爾PTT使用TPM 2.0。而在 AMD 生態系統中,第二代 Ryzen 處理器及後續產品通常會整合 fTPM 並支援此版本。
然而,TPM並非Windows 11的唯一要求。該系統還需要 64 位元 CPU,至少兩個 1 GHz 的核心,4 GB 內存,以及 64 GB 儲存空間雖然以今天的標準來看,這些配置要求並不高,但它們排除了許多仍然可以很好地運行 Windows 10 的舊電腦。
在許多用戶自行組裝的桌上型電腦中,幾年前的中低階主機板仍然很常見。 他們沒有將該模組作為標準配置,而只是提供了一個連接器,需要單獨添加。這就造成了一個相當奇怪的情況:CPU 和圖形性能非常強大的機器,卻因為缺少一個小晶片而受到限制。
那些不想或無法安裝該附加模組的用戶需要考慮是否 堅持使用 Windows 10 直到其官方支援結束,或考慮升級硬體。Windows 10 的支援將持續到 2025 年 10 月,所以您還有時間冷靜地做出決定。
如果你的電腦沒有TPM 2.0會發生什麼事?
如果經過所有檢查後,你確認 您的電腦沒有 TPM 2.0,而且也不可能增加。選擇餘地減少了。官方數據顯示,這台電腦不符合 Windows 11 的要求,因此您無法透過微軟的標準管道安裝 Windows 11。
存在一些非官方方法 在 Windows 11 安裝過程中跳過要求檢查這可以透過修改設定檔或使用第三方工具來實現。然而,這意味著放棄一些支持,最重要的是,這意味著您將在安全等級低於微軟認為可接受的最低標準的情況下運行系統。
對於無法容納 TPM 2.0 的設備,評估其是否更具成本效益至關重要。 使用 Windows 10 直至其生命週期結束,或尋找其他作業系統等替代方案,或投資購買一台更現代的電腦。這一切都取決於你如何使用電腦以及你對整合硬體安全性的重視程度。
對於許多家庭用戶來說,這可能是一個好機會 選擇近期翻新且已啟動 TPM 2.0 的設備。能夠流暢運行 Windows 11,而且成本比全新電腦更低。
雖然乍看之下TPM似乎只是另一種強制措施,但事實並非如此。 其主要目標是更好地保護您的資料、密碼和數位憑證。你可能不會直接和他互動,但他就像一個默默的保鏢,守護著你團隊中所有重要的事情。
