TPM 2.0 đã bị bắt buộc từ Windows 10, CPU đời trước 2018 không thành vấn đề, cách bật TPM trong BIOS
PC Health Check đang khiến anh em lo lắng khi hiện thông báo máy tính của anh em không đủ điều kiện để cập nhật lên
Windows 11. Ngay cả những anh em đang xài những chiếc máy với phần cứng mới nhất cũng gặp phải thông báo này. Đừng lo lắng, theo tìm hiểu của mình thì trừ khi anh em xài máy từ thời xa xưa mới phải lo, còn với máy về sau này thì hầu hết đều đã hỗ trợ
TPM - thứ làm cái thông báo kia hiện lên.
Có 2 dữ kiện được Microsoft đưa ra khiến dân tình hoang mang là:
TPM 2.0 và vi xử lý từ 2018 trở đi.
Windows 11 đòi TPM 2.0
Theo tìm hiểu của mình thì từ năm 2006, laptop đã bắt đầu được trang bị TPM, chuẩn TPM 1.2 có từ năm 2011 còn TPM 2.0 có từ năm 2014. Ban đầu trong yêu cầu cấu hình tối thiểu thì Windows 11 đòi TPM 1.2 nhưng chỉ qua hôm sau thì Microsoft đã nâng chuẩn lên TPM 2.0.
Microsoft chưa nói rõ là yêu cầu TPM 2.0 là dạng chip rời hay là giải pháp tích hợp, dùng firmware. TPM 2.0 có đến 5 cách ứng dụng:
- Dạng chip rời dicrete TPM (dTPM) - nó là một con chip rời và là giải pháp bảo mật TPM tốt nhất bởi mọi thông tin bảo mật như dấu vân tay, mật khẩu hay khóa mã hóa ngẫu nhiên đều được lưu trong con chip này;
- Dạng tích hợp integrated TPM (iTPM) - nó là một phần nằm trong một con chip khác có thể là chipset bo mạch chủ.
- Dạng firmware TPM (fTPM) - như tên gọi dùng giải pháp firmware chạy trong môi trường bảo mật TEE của CPU.
- Hypervisor TPM - (hTPM) là dạng TPM ảo hoạt động trên công nghệ hypervisor, chạy trong một môi trường cách ly ẩn trong máy ảo. Giải pháp này mang lại độ bảo mật tương đương với fTPM.
- Software TPM (sTPM) - là một phần mềm mô phỏng TPM và cũng là giải pháp ít an toàn nhất.
Theo tìm hiểu của mình thì giải pháp TPM rời dạng chip bảo mật thường có trên những chiếc bo mạch chủ máy hay mính dòng doanh nghiệp. Mình ví dụ như chiếc Lenovo ThinkPad P70 của mình, ra mắt năm 2016 với Windows 10 Pro cài sẵn, có chip TPM 1.2 rời, TPM 2.0 tích hợp trong chipset. Ngoài ra mình từng xài nhiều dòng máy ThinkPad khác và HP EliteBook thì nó cũng có chip TPM rời. Tuy nhiên, đã là chip rời thì đắt tiền, thế nên việc trang bị nó trên máy tính phổ thông sẽ khiến chiếc máy bị đội giá lên. Vậy là các hãng làm chip như Intel và AMD đã sử dụng giải pháp firmware TPM (fTPM), rẻ tiền hơn, không cần chip rời.
fTPM thì đối với Intel, hãng này đã tích hợp vào
một vài dòng vi xử lý từ năm 2013 với tên gọi là PTT (Platform Trust Technology). Trong khi đó, với ARM thì hãng có TrustZone còn AMD thì có fTPM có từ 2016 tức trước khi Ryzen đời đầu ra mắt.
TPM 2.0 đã là yêu cầu bắt buộc từ Windows 10
TPM 2.0 là một
yêu cầu bắt buộc với Windows 10. Trong tài liệu của Microsoft thì các thiết bị chạy Windows 10 cần phải được tích hợp công nghệ TPM 2.0, có thể là dạng chip rời hoặc giải pháp firmware tích hợp trên SoC.
Windows 10 ra mắt khi nào anh em nhớ không? Từ tháng 6 năm 2015! Như vậy mình nghĩ những chiếc máy được bán ra với Windows 10 cài sẵn chắc chắn có TPM 2.0, hoặc là dTPM chip rời hoặc fTPM giải pháp firmware. Như vậy nếu máy anh em khi mới mua về có Windows 10 thì có thể tự tin nâng cấp lên Windows 11 được. Vấn đề còn lại chỉ là bật TPM ở đâu để khi cài đặt thì chiếc máy được xác thực là hợp lệ.
CPU nào chạy được Windows 11?
Trong danh sách CPU được Windows 11 hỗ trợ thì Microsoft nói không hỗ trợ các vi xử lý ra mắt từ trước 2018. Tức là với Intel thì phải từ đời Coffee Lake hay Core thế hệ 8 trở đi còn với AMD thì từ Ryzen 2000 series trở đi. Tương tự với các dòng vi xử lý Atom, Xeon, Pentium, Celeron, AMD Threadripper và EPYC … phải từ 2018 trở đi.
Nói như vậy không có nghĩa là các vi xử lý ra mắt từ trước 2018 không chạy được Windows 11. Như mình đã nói ở trên, Windows 11 chỉ bị ràng buộc nhiều về TPM 2.0 là chính vì Microsoft muốn tăng tính bảo mật cho Windows 11.
Intel thì đã tích hợp
PTT vào vi xử lý sớm nhất là dòng Haswell (Core thế hệ 4) nhưng không hoàn toàn tức là dòng có dòng không. Thế hệ vi xử lý được tích hợp công nghệ TPM đồng loạt của Intel là dòng Skylake (Core thế hệ 6). Mình tìm hiểu được là kể từ thế hệ vi xử lý này thì Intel đã trang bị một công nghệ gọi là Intel SGX (Software Guard Extensions), là một thành phần của Intel ME (Management Engine) - nó
cung cấp môi trường TEE và hỗ trợ firmware TPM. Như vậy, nếu anh em xài máy tính chạy chip Intel từ 2015 trở đi tức là từ đời Skylake thì có thể yên tâm là vi xử lý có hỗ trợ fTPM 2.0 và nó sẽ có thể đáp ứng được yêu cầu của Windows 11.
Như vậy, có thể tạm kết luận là TPM 2.0 đã có trên máy tính từ đời 2015, từ khi Windows 10 ra mắt vì đây là yêu cầu bắt buộc. Máy anh em có TPM, chỉ cần biết bật nó ở đâu.
Bật TPM trong BIOS
Trên máy bàn, mình đang xài 2 máy là Core i9-9900KS và Core i9-11900K, bo mạch chủ là Z390 Gaming Pro AC của MSI và ASUS Z590 ROG Maximus XIII HERO. Nếu TPM không được bật trong BIOS thì dù phần cứng anh em có mới tới đâu, PC Health Checker vẫn báo không thể chạy được Windows 11.
Giờ vào BIOS, để bật TPM của nền tảng Intel thì anh em chỉ cần tìm cái tên PTT. Đây là trên BIOS của MSI Z390 Gaming Pro AC, anh em nhấn F7 chuyển sang chế độ Advanced, trong phần Settings mở > Security > Trusted Computing > Enabled cái Security Device Support > chọn PTT trong mục TPM Device Selection (nếu anh em chọn dTPM thì khi vào lại Win kiểm tra sẽ không được bởi đây là thiết lập cho chip TPM rời gắn thêm vào header trên bo). Chọn xong lưu lại và khởi động lại, vào dùng PC Health Checker sẽ thấy tick xanh.
Tương tự với bo mạch chủ ASUS Z590 ROG Maximus XIII HERO, anh em cũng vào mục Advanced nhưng với chiếc bo này, TPM nằm trong mục PCH-FW Configuration. Sẽ tùy dòng bo và phiên bản bo, thiết lập Trusted Computing có thể nằm ngay bên ngoài mục Advanced hoặc nằm trong một menu nữa.
PTT nằm tại đây, anh em Enable lên, khởi động lại máy là xong.
Trên các bo mạch của hãng khác, thiết lập Trusted Computing cũng nằm ở mục Advanced, chẳng hạn như hình trên là ASRock Z590 Taichi.
Với AMD thì anh em tìm thiết lập fTPM. Như hình trên là trong BIOS của Gigabyte AORUS.
Một khi đã bật TPM, anh em có thể tìm Security processor trong Settings > nó sẽ báo như hình trên.
*Với những anh em đang xài chip đời trước 2015, chẳng hạn như dòng Z97, socket 1150 dành cho Haswell/Broadwell thì sẽ không có thiết lập TPM trong BIOS. Một số bo có header để người dùng mua thêm chip TPM gắn vào, một số hoàn toàn không hỗ trợ. Vì vậy khi xài PC Health Checker thì nó sẽ luôn báo thiếu TPM.
Windows 11 trên máy tính không có TPM, CPU quá cũ
Có thể với bản chính thức, Microsoft sẽ không cho cài nhưng vẫn có thể cài với vài thủ thuật được chia sẻ trong video trên. Anh này đã cài Windows 11 chạy ngon lành trên một chiếc HP Business Notebook 6510b - một chiếc máy mà mình từng xài luôn, nó đời 2007, chạy Core 2 Duo T7500, RAM DDR2 và ổ cứng 120 GB. Anh em có thể theo hướng dẫn trong video cài thử nhé.
https://tinhte.vn/thread/tpm-2-0-da...thanh-van-de-cach-bat-tpm-trong-bios.3356218/
