关闭TPM

一、TPM标准与芯片

1、TPM标准

Trusted Platform Module(可信赖平台模块) 简称TPM，是国际行业标准组织可信计算组织TCG (Trusted Computing Group)制定的标准，2004年推出TPM1.2国际标准，大陆另外推出了自己的TCM标准，与TPM 1.2抗衡。TPM 1.2规范主要面向PC平台，其103版本在2009年被接受为ISO标准（ISO/IEC 11889）。

2014年推出TPM2.0标准（内地也参与制定），2015年被接纳为国际标准。TPM2.0标准兼容国产TCM。

2、TPM芯片（security chip，安全芯片）

TPM安全芯片，是指符合TPM标准的安全芯片，它能有效地保护PC、防止非法用户访问。从2006年开始，电脑开始内置可信平台模块芯片。

一般笔记本在bios中都用TPM这个名称。联想TPM芯片在bios中显示名称是 “security chip”（安全芯片），比较特殊。富士通TPM芯片在bios中显示名称TPM（security chip）。

电脑TPM芯片分符合TPM1.2标准的芯片与TPM2.0标准的芯片。TPM 2.0与TPM 1.2芯片不兼容。TPM1.2芯片需要确认才能生效，TCG推荐默认情况下关闭TPM。而TPM2.0芯片出厂就激活，不需确认，TPM2.0规范中没有强制规定必须有一个关闭“开关”。在国内TPM1.2芯片是非法的，不许电脑生产商装TPM1.2芯片。2009年就明确禁止国内电脑安装TPM1.2模块，所有国内销售的主板都不能使用使用未经批准的tpm芯片。是合法的。开启TPM功能。

2014年电脑开始搭配TPM2.0芯片。原版win7系统不含TPM2.0芯片的驱动

3、Intel PTT

在TPM2.0规范推出之前， 2013年夏季Intel推出的英特尔平台可信技术（Intel® Platform Trust Technology简称PTT）。英特尔平台信任技术（Intel PTT）是一种虚拟TPM。它驻留在您的NUC的FW，并由系统BIOS控制。它模拟的TPM版本是TPM v2.0，Windows 7无法识别。PTT主要用于密钥管理（密钥的加密及存储）和安全认证服务，将安全信息存储于计算机硬件中。PTT所需硬件环境：Intel Shark Bay移动平台Haswell ULT架构。PTT支持操作系统：Windows 8，Windows 8.1及以后版本。PTT支持可信平台模块（TPM）2.0 v.0.88所有Microsoft强制的命令。 这是英特尔管理引擎第四代英特尔酷睿处理器的集成解决方案的超低TDP（ULT）平台。一般Intel PTT可认为是TPM2.0。

如果电脑bios中有TPM与Intel PTT这两项，则TPM是指TPM1.2，Intel PTT是TPM2.0。TPM 2.0与TPM 1.2芯片不兼容。

二、TPM芯片安装现状

一般家用台式品牌机、组装机没有TPM芯片（安全芯片）。以前DELL、hp、东芝等的非大陆品牌商务机（含移动工作站）与商务本、ibm晚期与联想中档以上部分笔记本都有TPM 1.2标准的芯片。现在TPM2.0芯片逐渐成为平板与预装系统的笔记本标配，国外品牌与联想中端笔记本如E460、平板如微软平板Surface3、dell、国产高端平板等都开始搭载TPM2.0芯片。

大陆以安全为由，要求电脑只能采用国内生产的TPM芯片。除国产联想、清华同方外，国外商务机一般采用進口TPM芯片。其中TPM1.2没被大陆审核通过，所以安装進口TPM1.2芯片违反大陆法律，只有兼容内地tcm安全标准、采用国内生产的TPM2.0芯片才能在国内销售。国外品牌同一型号的笔记本如果内销，搭配的進口TPM1.2芯片大多是关闭或屏蔽的或者去掉。Dell venue 11 pro有的型号是带TPM安全芯片；有的不带TPM，是屏蔽或去掉。Surface3外销版有TPM2.0芯片，国行版去掉TPM2.0芯片。联想获得国内兆日公司的授权，安装自产的恒智芯片，不违法。联想以前的安全芯片应该是兼容TPM1.2与大陆tcm安全标准的芯片。

结 论：2014年以前内地销售机型即国行版（平板或商务机或笔记本），除联想外TPM1.2芯片基本上是不能用的，屏蔽或者去掉TPM芯片；国外销售商务机或笔记本或二手笔记本，TPM1.2芯片就有可能是开启的（默认是关闭的）。

联想中档以上笔记本一般有TPM芯片。除联想外国产电脑基本没有安装国内TCM标准的芯片。

2014年以后国外中端笔记本、国产中高端笔记本或intel平板开始装TPM2.0芯片。TPM2.0多数是没有初始化的，可以开启的。低端新笔记本没有TPM芯片。

三、关闭TPM的方法

（一）、在BIOS中关闭TPM方法

在bios关闭TPM是最安全的。通过TPM管理控制台关闭TPM或组策略禁用TPM设备等方法安全性不如bios关掉TPM，换了系统又要从做一次。

所有品牌如果有TPM芯片，一般可以在bios设置关闭。一般在bios的Security（安全）或Security control选项找到并设置，有些可以在advanced bios features取消对TPM的支持。TPM1.2芯片默认关闭，TPM2.0芯片出厂就激活。

1、bios中TPM选项常遇到的英文的含义及其状态

电脑不同，选项与用词略有差异。TPM状态大致分为三种：起作用、不起作用但显示、不起作用且隐藏。有些电脑仅有两种状态：起作用、不起作用。操作上还有清除TPM、恢复TPM出厂设置（一般是TPM未设置状态）。

TPM所在位置、状态与操作：Security（安全）、disable=失效(即关闭TPM)、Enable=有效（即启用TPM)、Available（可用）、Hidden（隐藏）、Activation（激活）、Inactive（不激活）、Clear（清除TPM，注意：清除同时会关闭TPM）、ON/OFF（开启/关闭）、Load Defaults（恢复默认设置）、Reset To Factory Settings（恢复到出厂值）。

注意：关闭TPM后并不一定会隐藏（即不在设备管理器显示TPM设备），可能仍会在设备管理器中显示。

（1）、如果bios中Security选项没显示TPM这几个字母（联想比较特殊，显示的是security chip），则可能主板没有TPM芯片或TPM已在bios被厂家隐藏关闭，就不存在关闭TPM问题。

（2）、如果bios中Security选项的TPM有关选项是灰色，不能设置，应该是厂家没有初始化TPM即TPM是屏蔽的，TPM根本没有启用，谈不上关闭与开启TPM问题。但在设备管理器中安全设备里面的“受信任的平台模块1.2”仍显示运转正常，或没有TPM设备。

（3）、如果bios中Security选项的有关TPM选项是可设置，就能在bios关闭TPM。

（4）、TPM1.2默认是关闭的，TPM2.0默认是开启的(外销机型)或屏蔽不起作用的(内销机型)。

2、各种品牌机在bios关闭TPM

（1）、 ibm与联想关闭TPM步骤：

按F1键進入BIOS设置。选择“Securiy” -> “Security Chip”

如果选择“Active”，安全芯片生效。 如果选择“Inactive”，安全芯片可见，但不生效。 如果选择“Disabled”，安全芯片隐藏且不生效。应该选Disabled，回车后选“Yes”，保存退出即可。在设备管理器中不会显示出TPM安全设备。

（2）、 惠普bios关闭TPM步骤（型号不同，选项略有差异）：

点击F10，進入 BIOS

①、单击bios的Security选项-> TPM Emebedded Security。

如果Securiy中TPM Emebedded Security为灰色，不可点击進入。需要设置bios 管理员密码

回车（按Enter）后，会弹出再次输入密码的界面，再次输入密码，回车。点击Securiy，会看到TPM Emebedded Security可以点击。

②、如果TPM设备是隐藏（hidden），需要先将TPM设备由隐藏（Hidden）改为可用（Available），然后才可设置TPM设备状态（State）等，

注意：将TPM设备（TPM Device或Emebedded Security Device）设为Available（可用），就可以更改tpm设备状态，操作系统才能访问相应设备，就可以将TPM设备状态设为启用/禁用。如果TPM Device（TPM设备）设为Hidden（隐藏），就不能更改tpm设备状态，操作系统则不能访问相应设备；此项被 BIOS 禁用，就无法由操作系统启用。

③、设置TPM设备状态（State）设为Disable或去掉TPM设备状态（State）前面的勾或点。

TPM设备状态（TPM State 或TPM Status）： Emebedded Security Device State。（机型不同，选项略有差异。

有些机型如果在TPM State前面打勾或打点，对应启用TPM，去掉前面的勾或点，对应禁用TPM。一般去掉前面的勾或点。

有些机型如有OS Management of TPM这项，选择去掉前方对勾。

TPM State有些机型有 Enable（启用） 、Disable（禁用）两项可以选择，一般要选disable（禁用）。

其它选项

Reset To Factory Settings（恢复到出厂值）有yes或no，一般可以不管。

OS Management of Embedded Security Device（操作系统管理内置安全设备） — 启用或停用操作系统控制 TPM 设备的功能（包括启动/关闭、初始化、重置 TPM 设备），可以停用，去掉前面的勾。

Reset of Embedded Security Device through OS（通过操作系统重置内置安全设备） — 启用/停用操作系统重置 TPM 的功能。 仅当操作系统管理内置安全设备处于启用状态时，才可用，可以不管。

清除TPM：设置选项为“否”和“是”， 选“是”，也可以。不清除TPM也可以。清除tpm同时会自动关闭tpm。

④、TPM Device（TPM设备）：Emebedded Security Device设为Hidden（隐藏）或Disable。这步设置后，设备管理器将不会显示出tpm安全设备。

然后按F10保存设置重启即可。

清除TPM：设置选项为“否”和“是”， 选“是”，也可以。不清除TPM也可以。清除tpm同时会自动关闭tpm。

（3）、 dell的bios关闭TPM步骤：

TPM Activation Deactivate/Activate/Clear对应着 TPM Activation不激活（取消激活）/激活/清除，应该选 Deactivate。如果选Clear清除，会清除TPM信息，并且会关闭TPM。

如果设置为Activate（激活），则在默认设置下启用 TPM。如果设置为Deactivate（取消激活），则禁用TPM。No Change（无更改）状态不启动任何操作。TPM 的操作状态保持不变（TPM 的所有用户设置将会保留）。

bios的Security选项--> TPM Security On/Off启用或禁用TPM，国内禁用预设选Off用于启用或停用可信赖平台模块安全保护装置。

TPM Activation (TPM 启动)(预设为Deactivate [关闭]) 启动或关闭可信赖平台模块安全保护装置。 Clear (清除) 选项将清除先前启动和使用 TPM 的用户所储存的所有数据。

注 ：若要启动可信赖平台模块，TPM Security (TPM 安全保护) 选项必须设定为On (开启)。

注： TPM Security（TPM 安全保护）设置为 Off（关）时，该字段为只读。

启动或关闭可信赖平台模块安全保护装置。 Clear (清除) 选项将清除先前启动和使用 TPM 的用户所储存的所有数据。

DELL 7130/7140平板

進入BIOS的设置：按开机键，感到震动后松手，再长按“-”号就可進入dell venue11 pro 7130 BIOS,settings(设置)中的 Security。

右边界面左上角的“TPM Security”是灰色的，不能操作。

其中“Load Defaults”是恢复默认设置的意思，执行以后可能“TPM Security”就能操作了。

Intel® Platform Trust Technology（ PTT）------TPM2.0

注：第一个TPM 为 TPM1.2 ， PTT为TPM 2.0 版。默认都未启用，如果打勾了，要取消勾选。

（4）、东芝关闭TPM步骤：东芝自产的bios芯片

Esc再按f1進入BIOS设置，fn+PgDn打开bios的第二页

Security control中TPM的选项只有两个：disable与Enable，选择disable

（5）、富士通电脑（与hp有点类似），TPM（security chip）中security chip先选Enable（有效），再选择Current TPM State（当前TPM状态）选Disables and Deactivated（无效未激活），最后security chip选为Disables。

（5）、（5）、含TPM接口的台式机主板

微星880g主板

TCG/TPM （TCG国际组织/TPM ） support， 设为no。这个选项一般都是灰色不可设置的。因为这类台式机主板一般没有TPM芯片，但保留TPM芯片的接口，所以出现这个选项。

（二）、在TPM管理控制台（管理单元）关闭TPM（最方便）

从 Vista开始的系统，微软的win7/win8/win8.1/win10系统都集成TPM组件。TPM安全芯片开始发挥作用，大量的系统安全功能也都将通过其来实现。在系统TPM管理控制台（管理单元）可以关闭TPM，这是最方便方法。在TPM管理控制台（管理单元）关闭TPM，即使换系统，tpm关闭状态仍然有效。

建议系统不要卸载TPM组件,可以去掉TPM驱动。

下图禁止受信任模块服务，无法对TPM進行管理。

1、xp系统依次单击“开始”--> “所有程序”--> “附件”，然后单击“运行”。在“打开”框中键入tpm.msc，然后按确定，即可打开TPM 管理控制台。

在此处可以判定是否装有TPM芯片及其所处状态。

①如果显示找不到兼容的TPM，则可能电脑无TPM芯片或被隐藏不显示；

②如果TPM未就绪或已关闭（包括开启过关闭的），旁边的操作只有初始化TPM是可操作的，而启用TPM、关闭TPM是灰色的。不用進行下一步。

2、如果出现“用户帐户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“是”。

3、在“操作”窗格中，单击“关闭 TPM”以显示“关闭 TPM 安全硬件”页。

4、在“关闭 TPM 安全硬件”对话框中，选择输入所有者密码和关闭 TPM 的方法：

①、如果有保存 TPM 所有者密码的可移动媒体，请插入该媒体，然后单击“我有 TPM 所有者密码的备份文件”。在“选择带有 TPM 所有者密码的备份文件”对话框中，单击“浏览”以找到可移动媒体中保存的 .TPM 文件，单击“打开”，然后单击“关闭 TPM”。

②、如果没有保存 TPM 所有者密码的可移动媒体，请单击“我希望键入 TPM 所有者密码”。在“请键入您的 TPM 所有者密码”对话框中，输入密码（包括连字符），然后单击“关闭 TPM”。

③、如果不知道 TPM 所有者密码，请单击“我没有 TPM 所有者密码”，然后按对话框和后续 BIOS 屏幕中提供的说明進行操作以关闭 TPM，而无需输入密码。

注意：可用“清除TPM”命令代替“关闭 TPM”，作用是清除TPM同时会自动关闭 TPM。

（三）、组策略禁用TPM1.2或2.0芯片

每一个设备都有一个Guid或id，论坛收集了TPM设备较常见的Guid /id，采用在组策略阻止这些常见的Guid /id设备安装来达到不让tpm设备工作的目地。

这种方法局限性：①、有些TPM设备的Guid /id不在这个范围内，那么这种方法就不起作用；

②、这种方法要求操作系统有组策略功能如win8.1企业版、win7旗舰版等，才能使用。无组策略功能的系统如win7家庭版不能使用这个办法。

③、这种方法换系统无效，必须从新進行这种设置

严格来说禁用TPM1.2或2.0芯片还不是真正关闭TPM。

方法：1、右键点击计算机（我的电脑）选管理，选“设备管理器”，右击“受信任的平台模块 1.2 /2.0”的属性，详细信息——属性（P）的下拉栏里找到受信任的平台模块 1.2 /2.0 的“类Guid”和“匹配设备ID”。

建议备份硬件ID与“总线类型 GUID”(或设备类GUID)，两个值都要备份。抓图或者选中硬件ID值或“总线类型 GUID”,右键“复制”(两个都要复制)，再打开文本文档,再粘贴到文本文档中。目前收集到TPM1.2/2.0芯片ID可能有{d94ee5d8-d189-4994-83d2-f68d7d41b0e6}、{D48179BE-EC20-11D1-B6B8-00C04FA372A7}、{6bdd1fc1-810f-11d0-bec7-08002be2092f},

ACPI\VEN_MSFT&DEV_0101也不是平板电脑TPM芯片唯一的硬件ID码。

2、运行组策略：在运行框输入gpedit.msc，回车，打开本地组策略编辑器窗口。

依次展开计算机配置——管理模块——系统——设备安装——点“设备安装限制”——右键点右边的“阻止安装与下列任何设备ID相匹配的设备”

编辑——点“已启用”——显示——在弹出的“显示内容”框框里，在空白栏里分别输入该设备描述里的“类Guid”的（{d94ee5d8-d189-4994-83d2-f68d7d41b0e6}—一般是这个）和“匹配设ID”的（ACPI\MSFT0101、ACPI\PNP0C31、*PNP0C31、ACPI\BCM0101、ACPI\BCM0102、ACPI\SM01200、*SM01200）最后在“也适用于匹配已安装的设备”的左边打上勾。TPM2.0建议还要增加{D48179BE-EC20-11D1-B6B8-00C04FA372A7}、{6bdd1fc1-810f-11d0-bec7-08002be2092f}（两个都输入）

如华硕T100TAF/T100TA输入代码：

ACPI\VEN_MSFT&DEV_0101

{D48179BE-EC20-11D1-B6B8-00C04FA372A7}

{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}

3、此时在设备管理器中可看到TPM（此处为“受信任的平台模块1.2”）消失了，如没有消失，则运行“gpupdate /force”再察看即可。

发现“其他设备”下“未知设备”多出一项。建议将TPM对应的“未知设备”项禁用。

禁用方法：选中“未知设备”项——右键“属性”——“详细信息”中察看其“硬件 ID”，“设备类 GUID”值，注：如能察看到“设备类 GUID”值为“{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}”则说明该设备对应TPM模块；实测发现察看不到“设备类 GUID”值，可根据“硬件 ID”判断，如“硬件 ID”为步骤1中记录的硬件ID值，则说明该项设备为TPM模块，在属性窗口中“驱动程序”下点“禁用”即可，或者选中该设备右键点“禁用”。

设备管理器中驱好的TPM模块，右键有“卸载”无禁用，实测无法卸载，点卸载后提示重启而重启后依然存在；在该模块属性窗口中“驱动程序”下的“禁用”按钮为灰，也无法禁用。

（四）、软件自动安装器V1.1中关闭tpm的设置

采用在注册表等位置禁止安装一些常用id等禁止安装tpm设备，比方法（三）适用范围更广一些；而且采用代替tpm驱动程序中某些文件来达到使tpm驱动程序无法正常运行，从而可以有效在操作系统阻止tpm设备运行。

禁止安装一些常用id等禁止安装tpm设备对旧的tpm1.2设备可以做到禁止安装，有些新的tpm2.0设备不包括，达不到禁止安装。

四：TPM安全芯片用途与生产厂家

TPM安全芯片用途：

（1）、 存储、管理BIOS开机密码以及硬盘密码。 以往这些事务都是由BIOS做的，忘记了密码只要取下BIOS电池，给BIOS放电就清除密码了。如今这些密钥实际上是存储在固化在芯片的存储单元中，即便是掉电其信息亦不会丢失。相比于BIOS管理密码，TPM安全芯片的安全性要大为提高。

（2）、TPM安全芯片可以進行范围较广的加密。 TPM 安全芯片除了能進行传统的开机加密以及对硬盘進行加密外，还能对系统登录、应用软件登录進行加密。比如目前咱们常用的MSN、QQ、网游以及网上银行的登 录信息和密码，都可以通过TPM加密后再進行传输，这样就不用担心信息和密码被人窃取。

（3）、加密硬盘的任意分区。我们可以加密本本上的任意一个硬盘分区，您可以将一些敏感的文件放入该分区以策安全。其实有些本本厂商采用的一键恢复功能，就是该用途的集中体现之一（其将系统镜像放在一个TPM加密的分区中）。

国外生产、研发、制造的TPM安全芯片的主要厂家有：英飞凌、意法半导体（ST）、Atmel、华邦电子等。国内厂商目前有联想的“恒智”芯片、兆日公司、国民公司的产品。