Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Vad är TPM och varför kräver Windows 11 det?

Varför det betyder något: Windows 11 kommer, men det kommer inte till vilken dator som helst. Microsoft säger att nästa generation av Windows kräver användning av ett system med Trusted Platform Module 2.0, och de flesta Windows-användare har aldrig haft att ta itu med termen tidigare, åtminstone utanför företagsmiljöer. Företaget gör en bra poäng att TPM hjälper till att öka säkerheten för Windows-datorer, men detta aggressiva tryck för TPM 2.0-överensstämmelse kan slå tillbaka.

Den här veckan tillkännagav Microsoft den mest betydande översynen av Windows på flera år, med ett förenklat gränssnitt och (förhoppningsvis) sammanhängande användargränssnitt. Andra viktiga funktioner som beskrivs av Microsoft inkluderar bättre prestanda, en ny Microsoft Store och mer spelorienterade funktioner som är avsedda att anpassa PC- och Xbox-upplevelserna.

Åh, och det är också en gratis uppgradering för Windows 10-användare.

Microsoft verkar fast beslutet att få utvecklare att älska det nya operativsystemet och de möjligheter som det ger bordet. Men för att öka Windows upp till 11 introducerade företaget också nya systemkrav och släppte ett Health Check-verktyg som kan berätta om din dator kommer att kunna köra Windows 11 när den landar senare i år.

Du behöver ett lite biffigare system för det nya operativsystemet jämfört med Windows 10, med en processor med dubbla kärnor och minst 4 GB RAM blir det helt nya.

TPM i ett nötskal

När du använde kompatibilitetsverktyget fann några av er utan tvekan att ditt system inte “officiellt” kan köra Windows 11, vilket kräver en dator med UEFI och Secure Boot-kapacitet, liksom något som kallas Trusted Platform Module eller TPM. Som vi förklarade i den här artikeln borde personer med relativt ny hårdvara (1-3 år) kunna klara de kontroller som görs av appen med flygande färger, men bara om TPM är aktiverat i dina UEFI-inställningar.

De flesta datorer som släppts under de senaste tio åren använder en UEFI- eller hybrid UEFI-implementering med ett BIOS-kompatibilitetsskikt ovanpå, så teoretiskt kan alla dessa system köra Windows 11 om de klarar CPU-, RAM- och lagringskraven. Men inte alla kan ha ett TPM-chip och tyvärr på typiskt Microsoft-sätt har företaget gjort ett dåligt jobb med att kommunicera när det gäller detta nya systemkrav.

Varför nu?

Du kanske undrar varför Microsoft plötsligt har beslutat att kräva TPM, en teknik som mest har använts i affärsmiljöer för IT-hanterade datorer. TPM började som ett dedikerat microcontroller-chip (dTPM) integrerat på vissa PC-moderkort men under senare år har processortillverkare som Intel och AMD börjat lägga till denna funktionalitet till sina processorer i form av firmwarebaserad TPM (fTPM).

Microsoft Director of Enterprise och OS Security David Weston förklarar syftet med TPM är att “skydda krypteringsnycklar, användaruppgifter och andra känsliga data bakom en hårdvarubarriär så att skadlig kod och angripare inte kan komma åt eller manipulera den informationen.” Med andra ord är TPM en hårdvarusäkerhetsfunktion som lagrar hemligheter i ett speciellt utrymme som är bättre skyddat mot externa programvaruattacker.

I Windows har TPM använts för att utöka funktioner som Windows Hello-lösenordsfri autentisering, Windows Defender Application Control, BitLocker (används för kryptering av hela disken), liksom för att säkerställa hypervisor-kodintegritet. Det här är inte exakt ogenomtränglig säkerhet, men det gör det mycket svårare för hackare att utföra fjärranfall på viktiga system, särskilt när detta inte är det enda säkerhetsskiktet som står i vägen för dem.

Det finns nu över 1,3 miljarder Windows 10-datorer i aktiv användning runt om i världen (och cirka 100 miljoner Windows 7 och 8-datorer), vilket är en stor attackyta som i allt högre grad utsätts för nya typer av hot, inklusive ransomwarekampanjer. De sistnämnda blir bara värre och beräknas kosta 265 miljarder dollar världen över år 2031.

Microsoft har försökt hårt för att utbilda konsumenter och företag om vikten av att skydda mot denna typ av cyberattack. Enligt Microsofts rapport om säkerhetssignaler från mars 2021 har 83 procent av alla företag upplevt sofistikerade firmware-attacker under de senaste två åren, och dessa företag ägnar bara cirka 29 procent av sin säkerhetsbudget för att skydda mot dem.

Nicole Dezen, som är VP för Global Partner Solutions på Microsoft, säger att TPM-kravet också innebär att Windows 11 kommer med säkerhetsfunktioner som Secure Boot, hårdvarubaserad isolering och hypervisor-kodintegritet aktiverad som standard. Microsofts skäl kan dock sträcka sig långt utöver att förbättra Windows-användarnas säkerhetsställning, eftersom TPM också kan användas för att skydda upphovsrättsskyddade verk och lägga till anti-fuskinsatser för populära onlinespel.

Microsoft har patent som beskriver användningen av TPM i kombination med andra tekniker för att skapa bättre anti-cheat-lösningar. Och även om alla som brinner för online multiplayer-spel hatar fuskare, kan det till och med skydda dem som försöker använda fusk från att få sina datorer infekterade med skadlig kod, samtidigt som det blir svårt att förstöra andras spelsessioner. Naturligtvis kommer detta inte att vara något som Windows 11 kommer att ha vid lanseringen, men TPM-kravet är en bra grund att bygga på framtiden.

Vem är täckt och vem inte?

Windows 11 har ett hårt krav på att TPM 2.0 ska finnas i ditt system, vilket är en stor fråga. Om du har en AMD-processor från den här listan eller en Intel-processor från den här listan är du i princip täckt. Allt du behöver göra är att kontrollera dina UEFI-inställningar – vanligtvis på fliken Avancerat – och aktivera en funktion som heter “PTT” för Intel-system och “PSP fTPM” för AMD-system.

Från den gruppen saknas de flesta datorer som är fyra år eller äldre. Det inkluderar Rygen-processorer av första generationen och Threadripper-processorer av första generationen. På Intel-sidan stöds inte alla 6: e och 7: e generationens Core-processorer, eller i huvudsak något som släpptes före Coffee Lake-familjen (slutet av 2017). Det är hårt. Men kort efter att kontroversen kring TPM-kravet sprängde hör vi om “mjuka golv”, där äldre datorer fortfarande kan uppgradera till Windows 11 genom att helt enkelt kringgå någon form av varningsdialog. Utan tvekan kommer användarna förr eller senare att räkna ut en viss lösning också.

Det finns ett annat sätt för de av er som håller fast vid en stationär dator som drivs av en äldre CPU som inte ingår i listan har ett sätt att uppfylla TPM-kravet med en diskret TPM 2.0-modul som kan anslutas till ditt moderkort, men Microsoft vann inte “officiellt” stöder din konfiguration. Företaget rekommenderar inte att para ihop en TPM-modul med ett moderkort som bara använder en äldre BIOS-implementering, eftersom vissa funktioner kanske inte fungerar som förväntat.

Men gissa vad, ett annat problem med att försöka köpa en TPM-modul just nu är … scalpers. En dag bara efter tillkännagivandet av Windows 11 fanns det nästan inga sådana föremål att köpa från återförsäljare, men det finns en översvämning av dem på webbplatser som eBay till en betydande premie jämfört med deras normala pris. En typisk TPM 2.0-modul kostar cirka $ 25 men är nu $ 90 till $ 100 eller mer, beroende på modell.

Slutsatsen är att TPM 2.0-kravet är Microsofts sätt att säga att det vill att nästa generation av Windows ska ge en ny säkerhetsnivå för konsumenter och företag, vilket också är anledningen till att det samarbetar med Intel, AMD och Qualcomm för att baka TPM direkt till CPU-kärnkonstruktioner för framtida processorer. Det enda problemet är att det gör det mitt i en brist på kisel, vilket tar bort de annars lovande egenskaperna Windows 11.