Как включить TPM на компьютере или ноутбуке
Установка Windows 11, действия, связанные с шифрованием, а в последнее время — некоторое ПО, игры и их модули могут требовать наличия и включения модуля TPM 2.0 (или иной версии) в системе.
В этой простой инструкции несколько примеров включения модуля TPM (Trusted Platform Module) в БИОС/UEFI ноутбуков и компьютеров при его наличии в системе, а также дополнительная информация, которая может пригодиться в контексте рассматриваемой темы.
Проверяем: возможно, TPM уже включён
Прежде чем выполнять далее описываемые действия, рекомендую заглянуть в диспетчер устройств, привожу пример для Windows 11/10:
- Нажмите правой кнопкой мыши по кнопке Пуск и выберите пункт «Диспетчер устройств» в контекстном меню, либо нажмите клавиши Win+R на клавиатуре, введите devmgmt.msc и нажмите Enter.
- В диспетчере устройств обратите внимание на наличие раздела «Устройства безопасности» и на его содержимое.
Если такой раздел есть, а в нем вы видите «Доверенный платформенный модуль», то что-либо включать не требуется, TPM на вашей системе уже включён и, судя по всему, работает.
Дополнительно вы можете:
- Использовать команду get-tpm в PowerShell (от имени Администратора) чтобы получить сведения о модуле TPM.
- Нажать клавиши Win+R и ввести tpm.msc для перехода в консоль управления TPM, где также присутствуют сведения о его готовности к работе. На скриншоте — пример отображения, когда модуль TPM 2.0 или 1.2 включен (иначе вы получите сообщение о его отсутствии):
В случае, когда доверенного платформенного модуля TPM не наблюдается, но вы уверены, что на вашем ноутбуке или ПК он в наличии, вероятнее всего, он отключен в БИОС и его можно включить.
Включение модуля TPM в БИОС/UEFI
В зависимости от производителя материнской платы или ноутбука, включение модуля TPM 2.0 (или иной версии) может располагаться в разных разделах настроек БИОС, как правило — в Security, Advanced, в подразделах, связанных с Trusted Computer или Trusted Platform Module (TPM).
Во всех случаях сначала нужно зайти в БИОС/UEFI, а после нахождения нужного раздела настроек — убедиться, что Trusted Platform Module (TPM и другие обозначения, примеры будут приведены далее) включён (Enabled). Если нужный пункт отсутствует, есть вероятность, что ваша система не оснащена этим устройством.
Далее — несколько распространённых примеров опции включения доверенного платформенного модуля на различных ПК и ноутбуках и её наименования, по аналогии можно будет найти нужный пункт и в других версиях БИОС (UEFI):
- На ПК с процессорами Intel вместо TPM может присутствовать опция включения PTT — что, по сути, то же самое, но речь идёт не о дискретном модуле TPM, а о встроенном, обычно на уровне процессора:
- На ПК с процессорами AMD также возможен вариант иного обозначения для «программного» модуля TPM — fTPM (Firmware TPM). Также на скриншоте вы можете увидеть опцию «Route to SPI TPM» — переключение на дискретный модуль TPM при его наличии:
- В некоторых вариантах интерфейса можно встретить переключение между dTPM (отдельный модуль TPM) и Firmaware TPM (fTPM, PPT):
- На материнских платах ASUS обычно требуется зайти в Advanced — Trusted Computing и переключить TPM Support и TPM State в Enabled.
- На ноутбуках HP загляните в раздел Security, TPM Device должно быть установлено в «Available», TPM State — «Enable».
- На ноутбуках Lenovo обратите на раздел Security, а в нём — подраздел «Security Chip», он должен быть Active.
- На MSI в разделе Advanced следует найти Trusted Computing и убедиться, что Security Device Support установлено в Enabled.
- На некоторых ноутбуках Dell — раздел Security, в подразделе TPM 2.0 включаем пункт TPM On и Enabled.
- На Gigabyte — возможен вариант размещения в разделе Advanced, подразделе Trusted Computing.
Большинство современных устройств оснащаются либо дискретным модулем TPM либо имеют возможность включения Firmware TPM — опцию обычно сравнительно легко найти, используя примеры, приведённые выше.
Дополнительная информация
На многих современных материнских платах ПК также присутствует разъём для подключения дискретного доверенного платформенного модуля, который можно приобрести отдельно:
Обычно для рядового пользователя это не требуется, но если вы решите установить такой модуль, ознакомьтесь с документацией о совместимости конкретно для вашей материнской платы в инструкции к ней: могут отличаться не только разъёмы подключения, но и присутствовать требования к конкретным совместимым модулям TPM 2.0.
Частый вопрос пользователей — взаимосвязь модуля TPM 2.0 и функции безопасной загрузки Secure Boot. Они не являются взаимозависимыми: то есть доверенный платформенный модуль может функционировать без безопасной загрузки, а она — без модуля TPM. Однако, при одновременном использовании они работают совместно, например Secure Boot может использовать ключи из TPM для проверки целостности процесса загрузки. При этом некоторое ПО может требовать включения обоих элементов безопасности.
В случае, если ваше устройство не оснащено модулем TPM 2.0, а цель включения — установка Windows 11 или обновление до её новой версии, не торопитесь менять компьютер, не исключено что доверенный платформенный модуль вам не потребуется, для установки есть самые различные способы, например — такой. При необходимости включения шифрования BitLocker без доверенного платформенного модуля используйте инструкцию Как включить BitLocker без TPM.
Юрий
Спасибо. Познавательно на будущее.
Ответить
Sysadmin
Даже и не собираюсь ставить 11 винду, а смысл? Сами мк заявляют что ничего в ней нового особо нет, только ДИЗАЙН, дизайн я и без них на 10ке могу поменять. По-моему, мк пошли не в то русло, нужно было развивать 7ку,но они выпустили 10ку, и когда можно было чуть доработать 10ку они выпускают 1 деньги деньги деньги….
ИМХО
Ответить
ыва
да, переходить с одной версии NT на другую NT за деньги — это надо быть очень обеспеченным человеком.
Ответить
Sysadmin
Для умников
8 и 8.1 я за ОС не считаю, я их считаю переходными ступеньками.
Ответить
Андрей
Для «неумника» То что ты не считаешь за ОС у других людей прекрасно работало и работает. А на досуге вместо поиска свежих комментариев на свои умозаключения почитай изменения и цель создания новой ОС w11 в Википедии.
Ответить
Sysadmin
Ясно,комменты подчищают,ок,зачем спрашивать мнения опытного юзера
Ответить
Dmitry
Никто комментов не чистит (если в них мата нет или оскорблений других участников обсуждения). Комменты не появляются до моего ответа, но у написавшего должны быть видны, если он не чистит куки.
Ответить
TestUser
Более интересно, на мой взгляд, что они решат с поколением процессоров. У меня, к примеру, десктоп и ноутбук только про процу не подходят на данный момент, но инсайдерская сборка встала на ноут. Посмотрим…
Ответить
TestUser
Да, еще может будет кому-то интересно и полезно: на большом компе у меня была отключена Secure Boot и приложение PC Health Check (мы знаем, что его отправили на доработку до осени) показывало только несоответсвие по этому моменту. Когда Secure Boot была включена, то стало ругаться на проц только! Модуля всем теперь известного в машине нет ни аппаратно, ни эмуляции. Только на проц ругалось. Видимо, есть какая-то иерархия по поводу минимальных требований сейчас. Просто для информации.
Ответить
Елена
печаль, всего лишь 2 года назад купила игровой компухтер, а на этой отсталой gigabyte даже нет этого доверенного модуля, и в итоге винды 11 мне не видать
Ответить
геннадий
2 месяца назад купил мини-пк процессор intel core i9-10885H, но в биосе нет TRM. Весь биос обыскал, но не нашел. Но везде заявляется что в новых TPM включить можно. Может кто поможет разобраться?
Ответить
Dmitry
Trusted Platform Module или Trusted Computing тоже искали?
Ответить
геннадий
да хотя бы все похожее на это
Ответить
геннадий
Trusted Platform Module и Trusted Computing искал, нет ничего похожего
Ответить
Dmitry
Обновлений БИОС случайно на ваш компьютер не приходило?
Ответить
геннадий
нет не было, все обновления проверял, на сате intel тоже проверял. обновлений биоса нет
Ответить
Игорь
включил, в обновлениях пишет что это пк не соответствует сис требованиям к системе для запуска win 11, через программу проверка работоспособности пишет что пк соответствует требованиям, как это понимать?
Ответить
Maximus Panin
Подскажите, при использовании в системе BitLocker с TPM, что будет при замене Motherboard (поломке и т.д.), диски уже не разлочить?
Ответить
Dmitry
Здравствуйте.
В общем случае, поможет ключ восстановления при смене оборудования. Хотя я рекомендовал бы предварительно отключить BitLocker, а затем снова шифровать.
А если не отключать, то сам не экспериментировал, но вот что отыскал у производителей оборудования на английском:
1. Сменили материнскую плату, включили компьютер, в БИОСе отключили TPM, стартанули загрузку
2. Ввели код разблокировки BitLocker
3. После загрузки в Windows через код разблокировки, в параметрах BitLocker — «приостановить».
4. Перезагрузка, включение TPM в БИОС, загрузка в Windows, включение BitLocker.
Мне тут некоторые моменты кажутся не интуитивными, но провести тесты сейчас не могу. Так или иначе полностью без данных при наличии сохраненного кода разблокировки вы остаться не должны.
Ответить
Андрей
BitLocker нужен только в частных случаях, типа корпоративной безопасности или хранении на ПК действительно чувствительных данных, на случай, если ПК или диск из него стырят. При этом очень желательно иметь бэкапы, чтобы не вспоминать какой-то там был секретный код при отлёте материнки, или не кусать локти от невозможности или трудностях изъятия данных при отлёте таблицы разделов или MFT.
Плюс оно снижает производительность дисковой системы.
В общем, моё глубокое убеждение, что любое шифрование дисков при гражданском использовании в 95% избыточная мера, которая может очень усложнить жизнь при сбоях.
Ответить
Дима
Я нашел в своем UEFI никакого TPM. Безопасная загрузка тоже не включается. Материнка ga-h97m-hd3. Я читал что если нет этого модуля физически то можно виртуально включить. Или я не прав? Как это сделать.
Ответить
Влад
Не нашел этот пункт. Материнка ASRock b450M steel legend. Кое-как 10ку установил. В проге совместимости пишет, что «Этот компьютер должен поддерживать безопасную загрузку и ТРМ 2.0 должен быть включен». Через диспетчер глянул, там AMD PSP 3.0 Device. Подскажите как настроить, чтобы обновиться до 11.
Ответить
Dmitry
Здравствуйте.
вкладка Main — Advanced — CPU Configuration — AMD fTPM Switch — AMD CPU fTPM
вкладка Security — Secure Boot — Enabled
Ответить
Matt
Доброго времени суток!
Есть проблема с TPM 2.0 на ноутбуке от Lenovo.
Обнаружилась после того, как софт потребовал включения этого самого TPM.
Дело в том, что он самопроизвольно отключается после выключения или перезагрузки ноута. Приходится снова лезть в БИОС и включать. И он работает. Но после очередного выключения или перезагрузки он снова сбрасывает на disabled. Был бы рад идеям как это можно пофиксить. Перепробовал все, что было на просторах форумов, ютуба и т.д. (и было довольно мало информации). Пробовал clear keys, но и оно не помогло — после выше перечисленных действий он продолжает выключаться автоматом. И да, ось win11. На десятке он не отрубался.
В общем, буду рад наводке, спасибо!
Ответить
Dmitry
Здравствуйте.
А с батарейкой БИОС порядок? Нет никаких проблем с питанием ноута?
Ответить
Евгений
Здравствуйте. Сижу на Windows 10. Появилось сообщение красным в разделе обновление что компьютер не подходит под минимальные требования. Включил в биос tpm 2.0 выключил. Включил. Сообщение так и висит красное. Tpm 2.0 включён. Сам пропадёт? И есть ли разница между ptt и dptm. Я выбрал ptt. Да и вообще может зря включил? Ведь если не хочу ставить Windows 11?
Ответить
Dmitry
Здравствуйте.
Ну если устанавливать не планируете, просто не обращайте внимания (кстати, там нельзя просто уведомление закрыть?).
Насчет двух опций: dTPM — аппаратная реализация (при наличии), PTT — программная реализация от Intel. И то и другое с 11 должно работать, так что может несовместимость вызвана каким-то другим фактором (безопасная загрузка, стиль разделов)
Ответить
Евгений
Спасибо за быстрый ответ. Закрыть можно первое большое сообщение. потом оно переходит в верхний правый угол. И не удаляется
Ответить
Святослав
Здравствуйте, на ноутбуке MSI Security Device Support установлено в Enabled. Но при проверке через powershell описанным в статье способом выдает TpmPresent: False и TpmReady: False, что делать в таком случае?
Ответить
Dmitry
Здравствуйте.
А режим загрузки UEFI при этом и Secure Boot включен?
Ответить
DmI
Спасибо за интересное и простое изложение материала. Подскажите пожалуйста, а при относительно невысоких характеристиках мощности ПК, при каком виде модуля (аппаратный чиповый или интегрированный в процессор и эмулированный), работа ПК будет быстрее? Ведь обращение к стороннему модулю — это время, а его резерв на самом процессоре — понижение мощности и его эффективности, или я не прав? Есть ли у вас примеры? В случае если установить аппаратный TPM 2.0 (чип для pin на материнке) и наличия поддержки процессора для его эмуляции — как понять в Bios какой из них откуда, как включить именно нужный?
Ответить
Dmitry
Здравствуйте.
Каких-либо конкретных наблюдений/тестов именно по TPM у меня нет, но во всех вариантах шифрования данных, например (на SSD и т.п.) аппаратное шифрование выполняется значительно быстрее, чем реализованное с использованием CPU, то есть обращение к соответствующим чипам занимает ничтожно мало времени, а обрабатывают они то, что нужно очень быстро за счёт своей специализации.
Ответить
Dmitry
Большое спасибо за ответ. Подскажите пожалуйста, а как сейчас правильно в спецификации маркетплейсов найти ноутбук, например Lenovo именно с отдельным автономным TPM на плате? Можете привести примеры моделей? На сайтах маркетплейсов у меня не вышло подобрать такую модель — обычно выдает с режимом эмуляции на процессоре. И второй вопрос — как в bios понять что ты включаешь TPM чип а не его эмуляцию процессором, если допустим их в модели ПК два? Ну или был pin и на него повесил автономный чип, при этом был родной в процессоре. Они не будут конкурировать, конфликтовать?
Ответить
Dmitry
Вот по определению в спецификациях, к сожалению, не скажу: везде пишут обычно просто tpm 2.0 или в этом духе, без специфики (отдельный чип или что-то ещё). Думаю, для каждого ноутбука придётся индивидуально искать спецификации производителя, а не маркетплейса.
Что касается включения в БИОС. Обычно для аппаратного модуля у нас будет отдельный пункт Trusted Platform Module или TPM, а для эмуляции — что-то иное, наподобие fTPM (Firmware TPM)
Ответить
Игорь
Добрый день.
Подскажите, пожалуйста. Ноут НР, процессор 8-го поколения, TPM 2.0 присутствует и включен (проверил). Вопрос — что означает «очистить модуль и удалить владельца, установить для модуля значения по умолчанию»? Я в начале 25 года ставил 24Н2 на этот ноут. До этого был древний Тошиба. Помню, что ставил, как Win Server (для обхода требований — по привычке). Система лицензионная, обновляемая, ноут есть в в ЛК MS. Что то надо делать? Или уже как есть так есть? Заранее спасибо.
Ответить
Dmitry
Здравствуйте.
в TPM (самом модуле) могут храниться ключи безопасной загрузки, шифрования BitLocker и другие (не изначально, а уже после установки и шифрования). Очистка — приводит его содержимое в «заводское состояние».
Делать без необходимости не нужно (но может пригодиться при переустановке, передаче компьютера и подобных действиях). Особенно если диск зашифрован, а ключей восстановления вы не знаете. Учитывайте, что шифрование может быть и «незаметным» (проверить в Параметры — Конфиденциальность и защита — Шифрование устройства).
Ответить
Игорь
Здравствуйте и спасибо, Дмитрий.
Диск не зашифрован (полностью расшифрован, предохранители ключа — не обнаружены). Не лезу, короче :-))
И — спасибо вам за многолетнюю поддержку данного ресурса. Вы многим сотням, если не тысячам, пользователей помогли своими точными, лаконичными статьями и ответами на вопросы. Еще раз — спасибо и успехов!
Ответить
Dmitry
А вам спасибо за отзыв! Люблю такие получать)
Ответить
Игорь
Здравствуйте.
Что делать, если в журнале событий системы (журналы Виндовс), Уведомления — Оборудованию доверенного платформенного модуля (ТРМ) не удалось выполнить команду ТРМ
Еще вопрос: «Центр безопасности сообщает , что управление доступом на уровне пользователей отключено. Рекомендуем включить управление на уровне пользователей.» Это в Управление компьютером- производительность — отчёты- System Diagnostic- имя компа. При этом в реестре EnableLUA — значение 2, а в параметр ConsentPromptBehaviorAdmin — 5.
Ответить
Dmitry
Здравствуйте.
А TPM модуль при этом включен и работает? Посмотрите в tpm.msc — есть там опции управления им?
Нет ли сторонних антивирусов на компьютере? (потенциально могут влиять).
Драйверы для TPM те, что сама Windows поставила, не из какой-то сторонней программы?
По второму вопросу: вообще, похоже на отключенный контроль учетных записей (UAC). Правда значение 2 для EnableLUA странное: этот параметр имеет два значения true/false (1/0)
Ответить
Игорь
Здравствуйте, Дмитрий.
Уточню данные
Ноут HP Laptop 15-da1xxx, 2019 года. Система WIN 11 24H2. SSD 1 tb. Памяти 16 ггб (2 планки) DDR4. Процессор i5-8265U, TPM модуль — тут мне непонятно — «версия физического присутствия ТРМ — 1.3, состояние ТРМ — Активно- версия (2.0, 0, 1.38)» — (это выдает программа Glow v25.10), а tpm.msc выдает — версия спецификации 403.1.0.0 , версия спецификации 2.0.
БИОС F.19 Legacy Boot.
Вопрос:
сведения о системе- журналы виндовс выдают: оборудованию доверенного модуля ТРМ не удалось выполнить команду ТРМ.
В БИОС ТРМ — включен.
Проводил очистку модуля и через tpm.msc и в БИОС — нет результатов. И не активна опция «действия — подготовить ТРМ», активно только — «очистить».
Как я понимаю — модуль есть, но не работает правильно.
На что грешить? Драйвер модуля? Устаревший БИОС? В общем, подскажите, как настроить ТРМ и , если, ссылки на биос, дрова — буду признателен.
(я уж третий день на НР саппорте и прогу из поставил НР РС хардваре диагностик — но толку 0)
В реестре всё включено как надо — проверено и перепроверено. Как уже писал — может проблема в том, что ставил эту винду , как Вин сервер для обхода требований(по привычке, блин). Что поможет — чистая установка? Можно заменить загрузчик?
Ответить
Dmitry
Здравствуйте.
На 100% сказать не могу, но первое, что я попробовал бы — это официальные драйверы с сайта HP на вашу модель ноутбука, особенно чипсет и Intel Management Engine Interface. А после их установки — Intel Trusted Execution Engine Interface оттуда же, этот драйвер непосредственное отношение к работе TPM на вашем ноутбуке имеет. Ну а потом смотреть результаты.
Под 11 там нет. Ставим под 10, должны завестись.
Ответить
Игорь
Здравствуйте, Дмитрий.
Установил с сайта поддержки НР 2 (два) обновления: sp147488 и 147496 (это чипсет и Intel MEI). Но Intel Trusted Execution Engine Interface есть только один и он не поддерживается системой (установка прерывается с таким сообщением), а других нет. Ситуация не изменилась. Написал в поддержку (на английском, конечно), просмотры есть, ответов пока нет.. Может, у вас есть ссылка на нужный мне драйвер Intel Trusted Execution Engine Interface?
Ответить
Dmitry
Здравствуйте.
Драйвер нужно брать именно оригинальный. Те, что я (или вы) найдете где-то еще могут иметь отличия. Один из вариантов, если о неподдерживаемой системе сообщает именно установщик — попробовать обойти эту проверку. Распаковать файл .exe (иногда 7-Zip справляется, иногда что-то типа Universal Extractor). Задача — получить сами файлы драйвера INF/SYS и другие, после чего попробовать установить их вручную: https://remontka.pro/install-inf-driver/
Примечание: несмотря на то, что это может помочь обойти проверку, не факт, что это поможет в решении самой проблемы.
Ответить
Игорь
Проблема остается, но вот что определил.
Насколько я понимаю, модули ТРМ работают с BIOS Legacy работают устаревшие модули ТРМ 1.2 и это физическое устройство. У меня, как я писал выше, версия физического присутствия ТРМ — 1.3, состояние ТРМ — Активно- версия (2.0, 0, 1.38)»
Мой ноут поддерживает оба режима — Legacy и UEFI (отключаешь Legacy — грузится UEFI). Я конвертировал диск в GPT, изменил загрузку на UEFI. Биос обновился до F.48_ — 2024 год, был F.19 2019 года), Intel сразу подгрузила 2 драйвера. Все параметры (кроме Сведений о системе) указывают на то, что ТРМ работает. Код ошибки 1796 -» Чтобы обеспечить безопасность устройств Windows, корпорация Майкрософт добавляет уязвимые модули загрузчика в список отзыва dbx secure boot (поддерживается в встроенном ПО на основе UEFI системы), чтобы сделать уязвимыми модули недействительными. Когда обновленный список отзыва DBX установлен на устройстве, Windows проверяет, находится ли система в состоянии, в котором обновление DBX может быть успешно применено к встроенному ПО, и будет сообщать об ошибках журнала событий при обнаружении проблемы.»
Видимо, этот модуль в моем ноуте «уязвим»….Плюнул, включил Intel Software Guard Extensions (SGX)- не панацея, но для домашнего использования пойдет , оставил включенным ТРМ.
Переделал загрузочную флешку под UEFI. В общем — многие знания — многие печали….
Ответить
Игорь
В догонку: версия физического модуля 1.3 это модификация v.1.2, то есть устаревшая. Все остальные цифры (2.0, 1.38.0) это прошивки модуля, они не важны в данном случае.
Ответить