TPM介绍：芯片标准、用途、厂家、如何关闭TPM

一、 TPM 标准与芯片

1、 TPM 标准

TrustedPlatformModule（可信赖平台模块）简称 TPM ，是国际行业标准组织可信计算组织TCG（TrustedComputingGroup）制定的标准，2004年推出 TPM 1.2国际标准，大陆另外推出了自己的TCM标准，与 TPM 1.2抗衡。 TPM 1.2规范主要面向PC平台，其103版本在2009年被接受为ISO标准（ISO/IEC11889）。

2014年推出 TPM 2.0标准（内地也参与制定），2015年被接纳为国际标准。 TPM 2.0标准兼容国产TCM。

2、 TPM 芯片（securitychip，安全芯片）

TPM 安全芯片，是指符合 TPM 标准的安全芯片，它能有效地保护PC、防止非法用户访问。从2006年开始，电脑开始内置可信平台模块芯片。

一般笔记本在BIOS中都用 TPM 这个名称。联想 TPM 芯片在BIOS中显示名称是“securitychip”（安全芯片），比较特殊。富士通 TPM 芯片在BIOS中显示名称 TPM （securitychip）。

电脑 TPM 芯片分符合 TPM 1.2标准的芯片与 TPM 2.0标准的芯片。 TPM 2.0与 TPM 1.2芯片不兼容。 TPM 1.2芯片需要确认才能生效，TCG推荐默认情况下关闭 TPM 。而 TPM 2.0芯片出厂就激活，不需确认， TPM 2.0规范中没有强制规定必须有一个关闭“开关”。在国内 TPM 1.2芯片是非法的，不许电脑生产商装 TPM 1.2芯片。2009年就明确禁止国内电脑安装 TPM 1.2模块，所有国内销售的主板都不能使用使用未经批准的 TPM 芯片。是合法的。开启 TPM 功能。

2014年电脑开始搭配 TPM 2.0芯片。原版Win7系统不含 TPM 2.0芯片的驱动。

3、IntelPTT

在 TPM 2.0规范推出之前，2013年夏季Intel推出的英特尔平台可信技术（Intel®PlatformTrustTechnology简称PTT）。英特尔平台信任技术（IntelPTT）是一种虚拟 TPM 。它驻留在您的NUC的FW，并由系统BIOS控制。它模拟的 TPM 版本是 TPM v2.0，Windows7无法识别。PTT主要用于密钥管理（密钥的加密及存储）和安全认证服务，将安全信息存储于计算机硬件中。PTT所需硬件环境：IntelSharkBay移动平台HaswellULT架构。PTT支持操作系统：Windows8，Windows8.1及以后版本。PTT支持可信平台模块（ TPM ）2.0v.0.88所有Microsoft强制的命令。这是英特尔管理引擎第四代英特尔酷睿处理器的集成解决方案的超低TDP（ULT）平台。一般IntelPTT可认为是 TPM 2.0。

如果电脑BIOS中有 TPM 与IntelPTT这两项，则 TPM 是指 TPM 1.2，IntelPTT是 TPM 2.0。 TPM 2.0与 TPM 1.2芯片不兼容。

二、 TPM 芯片安装现状

一般家用台式品牌机、组装机没有 TPM 芯片（安全芯片）。以前DELL、hp、东芝等的非大陆品牌商务机（含移动工作站）与商务本、ibm晚期与联想中档以上部分笔记本都有 TPM 1.2标准的芯片。现在 TPM 2.0芯片逐渐成为平板与预装系统的笔记本标配，国外品牌与联想中端笔记本如E460、平板如微软平板Surface3、dell、国产高端平板等都开始搭载 TPM 2.0芯片。

大陆以安全为由，要求电脑只能采用国内生产的 TPM 芯片。除国产联想、清华同方外，国外商务机一般采用進口 TPM 芯片。其中 TPM 1.2没被大陆审核通过，所以安装進口 TPM 1.2芯片违反大陆法律，只有兼容内地tcm安全标准、采用国内生产的 TPM 2.0芯片才能在国内销售。国外品牌同一型号的笔记本如果内销，搭配的進口 TPM 1.2芯片大多是关闭或屏蔽的或者去掉。Dellvenue11pro有的型号是带 TPM 安全芯片；有的不带 TPM ，是屏蔽或去掉。Surface3外销版有 TPM 2.0芯片，国行版去掉 TPM 2.0芯片。联想获得国内兆日公司的授权，安装自产的恒智芯片，不违法。联想以前的安全芯片应该是兼容 TPM 1.2与大陆tcm安全标准的芯片。

结论：2014年以前内地销售机型即国行版（平板或商务机或笔记本），除联想外 TPM 1.2芯片基本上是不能用的，屏蔽或者去掉 TPM 芯片；国外销售商务机或笔记本或二手笔记本， TPM 1.2芯片就有可能是开启的（默认是关闭的）。

联想中档以上笔记本一般有 TPM 芯片。除联想外国产电脑基本没有安装国内TCM标准的芯片。

2014年以后国外中端笔记本、国产中高端笔记本或intel平板开始装 TPM 2.0芯片。 TPM 2.0多数是没有初始化的，可以开启的。低端新笔记本没有 TPM 芯片。

三、关闭 TPM 的方法

（一）在BIOS中关闭 TPM 方法

在BIOS关闭 TPM 是最安全的。通过 TPM 管理控制台关闭 TPM 或组策略禁用 TPM 设备等方法安全性不如BIOS关掉 TPM ，换了系统又要从做一次。

所有品牌如果有 TPM 芯片，一般可以在BIOS设置关闭。一般在BIOS的Security（安全）或Securitycontrol选项找到并设置，有些可以在advancedBIOSfeatures取消对 TPM 的支持。 TPM 1.2芯片默认关闭， TPM 2.0芯片出厂就激活。

1、BIOS中 TPM 选项常遇到的英文的含义及其状态

电脑不同，选项与用词略有差异。 TPM 状态大致分为三种：起作用、不起作用但显示、不起作用且隐藏。有些电脑仅有两种状态：起作用、不起作用。操作上还有清除 TPM 、恢复 TPM 出厂设置（一般是 TPM 未设置状态）。

TPM 所在位置、状态与操作：Security（安全）、disable=失效（即关闭 TPM ）、Enable=有效（即启用 TPM ）、Available（可用）、Hidden（隐藏）、Activation（激活）、Inactive（不激活）、Clear（清除 TPM ，注意：清除同时会关闭 TPM ）、ON/OFF（开启/关闭）、LoadDefaults（恢复默认设置）、ResetToFactorySettings（恢复到出厂值）。

注意：关闭 TPM 后并不一定会隐藏（即不在设备管理器显示 TPM 设备），可能仍会在设备管理器中显示。

（1）如果BIOS中Security选项没显示 TPM 这几个字母（联想比较特殊，显示的是securitychip），则可能主板没有 TPM 芯片或 TPM 已在BIOS被厂家隐藏关闭，就不存在关闭 TPM 问题。

（2）如果BIOS中Security选项的 TPM 有关选项是灰色，不能设置，应该是厂家没有初始化 TPM 即 TPM 是屏蔽的， TPM 根本没有启用，谈不上关闭与开启 TPM 问题。但在设备管理器中安全设备里面的“受信任的平台模块1.2”仍显示运转正常，或没有 TPM 设备。

（3）如果BIOS中Security选项的有关 TPM 选项是可设置，就能在BIOS关闭 TPM 。

（4） TPM 1.2默认是关闭的， TPM 2.0默认是开启的（外销机型）或屏蔽不起作用的（内销机型）。

2、各种品牌机在BIOS关闭 TPM

（1）ibm与联想关闭 TPM 步骤

按F1键進入BIOS设置。选择“Securiy”->“SecurityChip”

如果选择“Active”，安全芯片生效。如果选择“Inactive”，安全芯片可见，但不生效。如果选择“Disabled”，安全芯片隐藏且不生效。应该选Disabled，回车后选“Yes”，保存退出即可。在设备管理器中不会显示出 TPM 安全设备

（2）惠普BIOS关闭 TPM 步骤（型号不同，选项略有差异）

开机按F10，進入BIOS

①单击BIOS的Security选项-> TPM EmebeddedSecurity。

如果Securiy中 TPM EmebeddedSecurity为灰色，不可点击進入。需要设置BIOS管理员密码

回车（按Enter）后，会弹出再次输入密码的界面，再次输入密码，回车。点击Securiy，会看到 TPM EmebeddedSecurity可以点击。

②如果 TPM 设备是隐藏（hidden），需要先将 TPM 设备由隐藏（Hidden）改为可用（Available），然后才可设置 TPM 设备状态（State）等，

注意：将 TPM 设备（ TPM Device或EmebeddedSecurityDevice）设为Available（可用），就可以更改 TPM 设备状态，操作系统才能访问相应设备，就可以将 TPM 设备状态设为启用/禁用。如果 TPM Device（ TPM 设备）设为Hidden（隐藏），就不能更改 TPM 设备状态，操作系统则不能访问相应设备；此项被BIOS禁用，就无法由操作系统启用。

③设置 TPM 设备状态（State）设为Disable或去掉 TPM 设备状态（State）前面的勾或点。

TPM 设备状态（ TPM State或 TPM Status）：EmebeddedSecurityDeviceState。（机型不同，选项略有差异。

有些机型如果在 TPM State前面打勾或打点，对应启用 TPM ，去掉前面的勾或点，对应禁用 TPM 。一般去掉前面的勾或点。

有些机型如有OSManagementof TPM 这项，选择去掉前方对勾。

TPM State有些机型有Enable（启用）、Disable（禁用）两项可以选择，一般要选disable（禁用）。

其它选项

ResetToFactorySettings（恢复到出厂值）有yes或no，一般可以不管。

OSManagementofEmbeddedSecurityDevice（操作系统管理内置安全设备）—启用或停用操作系统控制 TPM 设备的功能（包括启动/关闭、初始化、重置 TPM 设备），可以停用，去掉前面的勾。

ResetofEmbeddedSecurityDevicethroughOS（通过操作系统重置内置安全设备）—启用/停用操作系统重置 TPM 的功能。仅当操作系统管理内置安全设备处于启用状态时，才可用，可以不管。

清除 TPM ：设置选项为“否”和“是”，选“是”，也可以。不清除 TPM 也可以。清除 TPM 同时会自动关闭 TPM 。

④ TPM Device（ TPM 设备）：EmebeddedSecurityDevice设为Hidden（隐藏）或Disable。这步设置后，设备管理器将不会显示出 TPM 安全设备。

然后按F10保存设置重启即可。

清除 TPM ：设置选项为“否”和“是”，选“是”，也可以。不清除 TPM 也可以。清除 TPM 同时会自动关闭 TPM 。

（3）dell的BIOS关闭 TPM 步骤：

TPM ActivationDeactivate/Activate/Clear对应着 TPM Activation不激活（取消激活）/激活/清除，应该选Deactivate。如果选Clear清除，会清除 TPM 信息，并且会关闭 TPM 。

如果设置为Activate（激活），则在默认设置下启用 TPM 。如果设置为Deactivate（取消激活），则禁用 TPM 。NoChange（无更改）状态不启动任何操作。 TPM 的操作状态保持不变（ TPM 的所有用户设置将会保留）。

BIOS的Security选项--> TPM SecurityOn/Off启用或禁用 TPM ，国内禁用预设选Off用于启用或停用可信赖平台模块安全保护装置。

TPM Activation（ TPM 启动）（预设为Deactivate[关闭]）启动或关闭可信赖平台模块安全保护装置。Clear（清除）选项将清除先前启动和使用 TPM 的用户所储存的所有数据。

注：若要启动可信赖平台模块， TPM Security（ TPM 安全保护）选项必须设定为On（开启）。

注： TPM Security（ TPM 安全保护）设置为Off（关）时，该字段为只读。

启动或关闭可信赖平台模块安全保护装置。Clear（清除）选项将清除先前启动和使用 TPM 的用户所储存的所有数据。

DELL7130/7140平板

進入BIOS的设置：按开机键，感到震动后松手，再长按“-”号就可進入dellvenue11pro7130BIOS,settings（设置）中的Security。

右边界面左上角的“ TPM Security”是灰色的，不能操作。

其中“LoadDefaults”是恢复默认设置的意思，执行以后可能“ TPM Security”就能操作了。

Intel®PlatformTrustTechnology（PTT）------ TPM 2.0

注：第一个 TPM 为 TPM 1.2，PTT为 TPM 2.0版。默认都未启用，如果打勾了，要取消勾选。

（4）、东芝关闭 TPM 步骤：东芝自产的BIOS芯片

Esc再按f1進入BIOS设置，fn+PgDn打开BIOS的第二页

Securitycontrol中 TPM 的选项只有两个：disable与Enable，选择disable

（5）富士通电脑（与hp有点类似）

TPM （securitychip）中securitychip先选Enable（有效），再选择Current TPM State（当前 TPM 状态）选DisablesandDeactivated（无效未激活），最后securitychip选为Disables。

（6）含 TPM 接口的台式机主板

微星880g主板

TCG/ TPM （TCG国际组织/ TPM ）support，设为no。这个选项一般都是灰色不可设置的。因为这类台式机主板一般没有 TPM 芯片，但保留 TPM 芯片的接口，所以出现这个选项。

（二）在 TPM 管理控制台（管理单元）关闭 TPM （最方便）

从Vista开始的系统，微软的Win7/Win8/Win8.1/Win10系统都集成 TPM 组件。 TPM 安全芯片开始发挥作用，大量的系统安全功能也都将通过其来实现。在系统 TPM 管理控制台（管理单元）可以关闭 TPM ，这是最方便方法。在 TPM 管理控制台（管理单元）关闭 TPM ，即使换系统， TPM 关闭状态仍然有效。

建议系统不要卸载 TPM 组件,可以去掉 TPM 驱动。

1、xp系统依次单击“开始”-->“所有程序”-->“附件”，然后单击“运行”。在“打开”框中键入 TPM .msc，然后按确定，即可打开 TPM 管理控制台。

在此处可以判定是否装有 TPM 芯片及其所处状态。

①如果显示找不到兼容的 TPM ，则可能电脑无 TPM 芯片或被隐藏不显示；

②如果 TPM 未就绪或已关闭（包括开启过关闭的），旁边的操作只有初始化 TPM 是可操作的，而启用 TPM 、关闭 TPM 是灰色的。不用進行下一步。

2、如果出现“用户帐户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“是”。

3、在“操作”窗格中，单击“关闭 TPM ”以显示“关闭 TPM 安全硬件”页。

4、在“关闭 TPM 安全硬件”对话框中，选择输入所有者密码和关闭 TPM 的方法：

①、如果有保存 TPM 所有者密码的可移动媒体，请插入该媒体，然后单击“我有 TPM 所有者密码的备份文件”。在“选择带有 TPM 所有者密码的备份文件”对话框中，单击“浏览”以找到可移动媒体中保存的. TPM 文件，单击“打开”，然后单击“关闭 TPM ”。

②、如果没有保存 TPM 所有者密码的可移动媒体，请单击“我希望键入 TPM 所有者密码”。在“请键入您的 TPM 所有者密码”对话框中，输入密码（包括连字符），然后单击“关闭 TPM ”。

③、如果不知道 TPM 所有者密码，请单击“我没有 TPM 所有者密码”，然后按对话框和后续BIOS屏幕中提供的说明進行操作以关闭 TPM ，而无需输入密码。

注意：可用“清除 TPM ”命令代替“关闭 TPM ”，作用是清除 TPM 同时会自动关闭 TPM 。

（三）组策略禁用 TPM 1.2或2.0芯片

每一个设备都有一个Guid或id，论坛收集了 TPM 设备较常见的Guid/id，采用在组策略阻止这些常见的Guid/id设备安装来达到不让 TPM 设备工作的目地。

这种方法局限性：

①有些 TPM 设备的Guid/id不在这个范围内，那么这种方法就不起作用；

②这种方法要求操作系统有组策略功能如Win8.1企业版、Win7旗舰版等，才能使用。无组策略功能的系统如Win7家庭版不能使用这个办法。

③这种方法换系统无效，必须从新進行这种设置

严格来说禁用 TPM 1.2或2.0芯片还不是真正关闭 TPM 。

方法：

1、右键点击计算机（我的电脑）选管理，选“设备管理器”，右击“受信任的平台模块1.2/2.0”的属性，详细信息——属性（P）的下拉栏里找到受信任的平台模块1.2/2.0的“类Guid”和“匹配设备ID”。

建议备份硬件ID与“总线类型GUID”（或设备类GUID），两个值都要备份。抓图或者选中硬件ID值或“总线类型GUID”,右键“复制”（两个都要复制），再打开文本文档,再粘贴到文本文档中。目前收集到 TPM 1.2/2.0芯片ID可能有{d94ee5d8-d189-4994-83d2-f68d7d41b0e6}、{D48179BE-EC20-11D1-B6B8-00C04FA372A7}、{6bdd1fc1-810f-11d0-bec7-08002be2092f},

ACPI\VEN_MSFT&DEV_0101也不是平板电脑 TPM 芯片唯一的硬件ID码。

2、运行组策略：在运行框输入gpedit.msc，回车，打开本地组策略编辑器窗口。

依次展开计算机配置——管理模块——系统——设备安装——点“设备安装限制”——右键点右边的“阻止安装与下列任何设备ID相匹配的设备”

编辑——点“已启用”——显示——在弹出的“显示内容”框框里，在空白栏里分别输入该设备描述里的“类Guid”的（{d94ee5d8-d189-4994-83d2-f68d7d41b0e6}—一般是这个）和“匹配设ID”的（ACPI\MSFT0101、ACPI\PNP0C31、PNP0C31、ACPI\BCM0101、ACPI\BCM0102、ACPI\SM01200、SM01200）最后在“也适用于匹配已安装的设备”的左边打上勾。 TPM 2.0建议还要增加{D48179BE-EC20-11D1-B6B8-00C04FA372A7}、{6bdd1fc1-810f-11d0-bec7-08002be2092f}（两个都输入）

如华硕T100TAF/T100TA输入代码：

ACPI\VEN_MSFT&DEV_0101

{D48179BE-EC20-11D1-B6B8-00C04FA372A7}

{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}

3、此时在设备管理器中可看到 TPM （此处为“受信任的平台模块1.2”）消失了，如没有消失，则运行“gpupdate/force”再察看即可。

发现“其他设备”下“未知设备”多出一项。建议将 TPM 对应的“未知设备”项禁用。

禁用方法：选中“未知设备”项——右键“属性”——“详细信息”中察看其“硬件ID”，“设备类GUID”值，注：如能察看到“设备类GUID”值为“{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}”则说明该设备对应 TPM 模块；实测发现察看不到“设备类GUID”值，可根据“硬件ID”判断，如“硬件ID”为步骤1中记录的硬件ID值，则说明该项设备为 TPM 模块，在属性窗口中“驱动程序”下点“禁用”即可，或者选中该设备右键点“禁用”。

设备管理器中驱好的 TPM 模块，右键有“卸载”无禁用，实测无法卸载，点卸载后提示重启而重启后依然存在；在该模块属性窗口中“驱动程序”下的“禁用”按钮为灰，也无法禁用。

（四）软件自动安装器V1.1中关闭 TPM 的设置

采用在注册表等位置禁止安装一些常用id等禁止安装 TPM 设备，比方法（三）适用范围更广一些；而且采用代替 TPM 驱动程序中某些文件来达到使 TPM 驱动程序无法正常运行，从而可以有效在操作系统阻止 TPM 设备运行。

禁止安装一些常用id等禁止安装 TPM 设备对旧的 TPM 1.2设备可以做到禁止安装，有些新的 TPM 2.0设备不包括，达不到禁止安装。

四、 TPM 安全芯片用途与生产厂家

TPM 安全芯片用途：

（1）存储、管理BIOS开机密码以及硬盘密码。以往这些事务都是由BIOS做的，忘记了密码只要取下BIOS电池，给BIOS放电就清除密码了。如今这些密钥实际上是存储在固化在芯片的存储单元中，即便是掉电其信息亦不会丢失。相比于BIOS管理密码， TPM 安全芯片的安全性要大为提高。

（2） TPM 安全芯片可以進行范围较广的加密。 TPM 安全芯片除了能進行传统的开机加密以及对硬盘進行加密外，还能对系统登录、应用软件登录進行加密。比如目前咱们常用的MSN、QQ、网游以及网上银行的登录信息和密码，都可以通过 TPM 加密后再進行传输，这样就不用担心信息和密码被人窃取。

（3）加密硬盘的任意分区。我们可以加密本本上的任意一个硬盘分区，您可以将一些敏感的文件放入该分区以策安全。其实有些本本厂商采用的一键恢复功能，就是该用途的集中体现之一（其将系统镜像放在一个 TPM 加密的分区中）。

国外生产、研发、制造的 TPM 安全芯片的主要厂家有：英飞凌、意法半导体（ST）、Atmel、华邦电子等。国内厂商目前有联想的“恒智”芯片、兆日公司、国民公司的产品。