Аппаратная защита в Windows: TPM и Pluton

Иван Корнев·04.05.2026·6 мин

TPM (Trusted Platform Module) и Pluton — это аппаратные модули безопасности, которые хранят криптографические ключи изолированно от основной операционной системы. Они необходимы для работы шифрования диска (BitLocker), защиты учетных данных (Windows Hello) и обеспечения целостности системы при загрузке. В современных ПК с Windows 11 наличие активного TPM 2.0 является обязательным требованием.

В этой статье разберем, в чем разница между классическим TPM и новым чипом Pluton, как быстро проверить их статус в системе и какие шаги предпринять, если модуль отключен в BIOS/UEFI.

Краткий ответ: Чтобы проверить статус, нажмите Win + R, введите tpm.msc и нажмите Enter. Если указано «Готов к использованию» (The TPM is ready for use) и версия спецификации 2.0, всё настроено верно. Если модуль не найден, его нужно включить в BIOS.

Чем TPM отличается от Microsoft Pluton

Хотя обе технологии выполняют схожие функции, их архитектура и уровень защиты различаются.

TPM (Trusted Platform Module)

Это стандартный криптопроцессор, который может быть реализован двумя способами:

  1. Дискретный чип: Отдельная микросхема на материнской плате.
  2. Прошивной (Firmware TPM): Функция, встроенная в чипсет или процессор (например, Intel PTT или AMD fTPM).

TPM генерирует и хранит ключи шифрования, защищая их от программного доступа. Однако данные между CPU и дискретным чипом TPM могут передаваться по шине, что теоретически оставляет возможность для физических атак типа «человек посередине» (Man-in-the-Middle), если злоумышленник имеет физический доступ к плате.

Microsoft Pluton

Pluton — это эволюция концепции TPM, разработанная совместно с производителями процессоров (AMD, Intel, Qualcomm).

  • Интеграция: Pluton встроен непосредственно в кристалл процессора (SoC).
  • Защита шины: Ключи никогда не покидают пределы процессора в открытом виде. Даже если злоумышленник подключится к материнской плате, он не сможет перехватить данные, идущие к модулю безопасности.
  • Обновления: Прошивка Pluton обновляется через центр обновления Windows (как драйвер), а не через обновление BIOS, что упрощает поддержку актуальности защитных механизмов.

Для пользователя разница минимальна: оба модуля работают как стандартный TPM 2.0 для операционной системы. Главное преимущество Pluton — повышенная устойчивость к сложным физическим атакам на устройство.

Как проверить наличие и статус TPM в Windows

Прежде чем лезть в настройки BIOS, убедитесь, что модуль уже активен и определяется системой.

Способ 1: Консоль управления TPM (самый надежный)

  1. Нажмите комбинацию клавиш Win + R.
  2. Введите команду tpm.msc и нажмите ОК.
  3. Обратите внимание на поле Состояние (Status) в правом нижнем углу окна:
    • «Готов к использованию» (The TPM is ready for use) — модуль активен и работает корректно.
    • «Не найдена совместимая доверенная платформа» — модуль отключен в BIOS или отсутствует физически.
  4. В разделе Сведения об изготовителе проверьте пункт Версия спецификации. Для Windows 11 и современного шифрования требуется версия 2.0.

Способ 2: Сведения о системе

  1. Нажмите Win + R, введите msinfo32 и нажмите ОК.
  2. В списке найдите строки:
    • Требуется безопасная загрузка (Secure Boot Required): Да/Нет.
    • Состояние безопасной загрузки (Secure Boot State): Вкл (On) / Выкл (Off).
    • Поддержка устройства с защитой от вредоносных программ (Device Guard Support): Данные о виртуализации и безопасности.

Если tpm.msc выдает ошибку или показывает отсутствие модуля, переходите к включению в BIOS/UEFI.

Как включить TPM в BIOS/UEFI

Названия опций зависят от производителя материнской платы и процессора. Ниже приведены наиболее распространенные варианты.

Общий алгоритм действий

  1. Перезагрузите компьютер.
  2. Во время загрузки нажимайте клавишу входа в BIOS (обычно Del, F2, F10 или Esc).
  3. Перейдите в расширенный режим (Advanced Mode), если открылся простой интерфейс.
  4. Найдите раздел Security (Безопасность), Trusted Computing или Advanced.
  5. Активируйте соответствующую настройку (см. таблицу ниже).
  6. Сохраните изменения (F10) и перезагрузитесь.

Названия опций для разных платформ

Производитель CPUНазвание опции в BIOSГде обычно искать
IntelIntel PTT (Platform Trust Technology)Security / PCH-FW Configuration / Trusted Computing
AMDfTPM (Firmware TPM) / AMD CPU fTPMAdvanced / AMD fTPM configuration / Security
ASUSSecurity Device SupportAdvanced / PCH-FW Configuration
GigabyteIntel Platform Trust Technology / AMD CPU fTPMSettings / Miscellaneous / Trusted Computing
MSISecurity Device SupportSettings / Advanced / Trusted Computing
HP / Dell / LenovoTPM State / Embedded Security DeviceSecurity / System Security

Важно перед включением: Если у вас уже включено шифрование BitLocker, а TPM был отключен или сброшен, при включении система может потребовать ключ восстановления. Убедитесь, что у вас есть доступ к ключу восстановления BitLocker (сохраненному в учетной записи Microsoft или распечатанному), прежде чем менять настройки TPM в BIOS.

Особый случай: Microsoft Pluton

Если у вас современный ноутбук или ПК с поддержкой Pluton (например, на базе новых чипов AMD Ryzen 6000+/7000+ или Intel Core 12th Gen+ с соответствующей сертификацией):

  • Pluton часто включен по умолчанию и скрыт от прямого управления в BIOS.
  • Он функционирует как TPM 2.0. Проверка через tpm.msc покажет стандартный статус TPM.
  • Обновления микрокода Pluton приходят автоматически через Центр обновления Windows. Дополнительных действий не требуется.

Частые ошибки и проблемы

1. «TPM не найден» после обновления BIOS

После прошивки BIOS настройки могут сброситься до заводских.

  • Решение: Зайдите в BIOS и повторно включите Intel PTT или AMD fTPM.

2. Ошибка «Сбой проверки целостности системы» при установке Windows 11

Даже если TPM включен, установщик может ругаться на Secure Boot.

  • Решение: В том же разделе BIOS (обычно рядом с TPM) найдите опцию Secure Boot и переведите её в состояние Enabled. Может потребоваться переключение режима загрузки с CSM/Legacy на UEFI.

3. BitLocker запрашивает ключ после включения TPM

Если вы включили TPM на уже зашифрованном диске, привязка ключей могла нарушиться.

  • Решение: Введите ключ восстановления. После загрузки системы рекомендуется приостановить и заново включить защиту BitLocker, чтобы перепривязать ключи к новому состоянию TPM.

4. Невозможно включить fTPM на AMD (предупреждение о потере ключей)

При первом включении fTPM на системах AMD может появиться сообщение о том, что предыдущие ключи будут удалены.

  • Решение: Если вы не используете BitLocker или другие сервисы, зависящие от старого TPM-ключа (например, некоторые корпоративные сертификаты), смело выбирайте Accept или Create New Keys. Если шифрование использовалось — сначала найдите ключ восстановления.

FAQ

Влияет ли включение TPM на производительность? Нет. Криптографические операции выполняются отдельным контроллером и не нагружают основные ядра процессора. На повседневную скорость работы ПК или игр это не влияет.

Можно ли использовать Windows 11 без TPM? Официально — нет. Существуют неофициальные методы обхода требований (через реестр или модифицированные образы установки), но они лишают систему части функций безопасности и могут привести к отсутствию критических обновлений в будущем.

Как узнать, поддерживает ли мой процессор Pluton? Pluton доступен только на определенных моделях процессоров нового поколения. Проверить наличие можно в диспетчере устройств: раздел Устройства безопасности (Security devices). Если там есть «Microsoft Pluton Cryptographic Processor», значит, технология поддерживается и активна.

Нужно ли включать TPM для игр? Напрямую для игр TPM не нужен. Однако такие античиты, как Valorant’s Vanguard или FIFA Anti-Cheat, требуют наличия включенного TPM 2.0 и Secure Boot на Windows 11. Без них игры просто не запустятся.