Pontos principais
- Ativar o TPM 2.0 para segurança do Windows 11 e conformidade com o & – O TPM 2.0 (Trusted Platform Module) é necessário para a instalação do Windows 11 e essencial para recursos como o BitLocker, o Windows Hello e a Inicialização Segura. Isso garante a conformidade com os padrões modernos de segurança baseados em hardware e protege os sistemas corporativos.
- Verifique o status do TPM 2.0 usando ferramentas do Windows – Verifique a disponibilidade e a versão do TPM por meio do tpm.msc (Console de Gerenciamento do TPM) ou do PowerShell. Procure por “O TPM está pronto para uso” e confirme se a SpecVersion 2.0 ou superior está instalada para atender aos requisitos de sistema do Windows 11.
- Ative o TPM 2.0 nas configurações da BIOS/UEFI – Se o TPM estiver desativado, acesse o firmware da BIOS ou da UEFI e ative-o. Utilize o PTT (Intel Platform Trust Technology) ou o fTPM (AMD Firmware TPM), dependendo do seu sistema. Salve e reinicie o computador para ativar o TPM e garantir a compatibilidade com o Windows 11.
- Aproveite o TPM 2.0 para políticas de segurança avançadas – Depois de ativado, configure as opções da Política de Grupo para a criptografia do BitLocker, o Credential Guard e a validação da Inicialização Segura. O TPM 2.0 aprimora a proteção de dados, previne ataques ao firmware e oferece suporte à certificação remota para ambientes gerenciados pela equipe de TI.
- Solução de problemas e manutenção da funcionalidade do TPM – Resolva problemas de detecção do TPM por meio de atualizações de firmware, ativando o fTPM/PTT ou instalando um módulo TPM dedicado. Reinicie o TPM quando necessário (usando cópias de segurança da chave de recuperação) para restaurar a funcionalidade e manter a integridade da segurança do sistema.
O TPM, ou Trusted Platform Module, é um recurso de segurança baseado em hardware integrado aos PCs modernos. O Windows 11 requer o TPM 2.0 para a instalação, pois ele é essencial para ativar vários recursos de segurança do Windows, incluindo o BitLocker, o Windows Hello e o Secure Boot. O TPM pode estar presente, mas pode estar desativado no firmware por padrão em alguns sistemas.
A ativação do TPM é essencial para ambientes gerenciados ou corporativos e é fundamental para a estratégia de segurança de qualquer infraestrutura de TI. Isso ajuda a garantir a conformidade com os padrões básicos de segurança de hardware e oferece suporte a recursos modernos de segurança. Se você está procurando orientações sobre como habilitar o TPM 2.0, este guia aborda vários métodos, incluindo o Gerenciamento do TPM, o PowerShell e a BIOS ou UEFI.
Para uma explicação ilustrada sobre esse assunto, assista ao vídeo “Como ativar o TPM 2.0 em um PC com Windows 11”
Requisitos para habilitar o TPM 2.0 em um PC com Windows 11
Antes de tentar ativar o TPM 2.0 no seu PC, é necessário atender aos seguintes pré-requisitos:
- Suporte de hardware para TPM 2.0. Seu dispositivo deve ter um chip Trusted Platform Module 2.0 integrado à placa-mãe. A maioria dos PCs e laptops fabricados após 2016 já vem com esses recursos por padrão. No entanto, é essencial verificar a compatibilidade, especialmente em sistemas mais antigos.
- Acesso às configurações da UEFI/BIOS. Para ativar isso, você precisará acessar o firmware do sistema. Você pode acessar essa função pressionando uma tecla específica, como F2, DEL ou ESC, logo após ligar o aparelho.
- Privilégios administrativos. É necessário estar conectado a uma conta do Windows com as permissões adequadas para definir configurações em ferramentas como o PowerShell e o Console de Gerenciamento do TPM.
- Variações específicas do fabricante do equipamento original. Dependendo do fabricante, as configurações do TPM podem ser designadas por nomes diferentes. Por exemplo, alguns sistemas, como os da Intel, podem se referir a ela como PTT (Platform Trust Technology), enquanto a AMD a chama de fTPM.
Como verificar o status do TPM 2.0
Método 1: Verifique o status do TPM usando o tpm.msc
Usando o Console de Gerenciamento do TPM integrado, esse método permite verificar se o TPM 2.0 está presente e ativado no seu sistema. Aqui estão as etapas necessárias para este método:
- Abra a caixa de diálogo “Executar” pressionando as teclas Win + R no teclado.
- Digite tpm.msc para abrir o Console de Gerenciamento do TPM.
- Em seguida, verifique o status do TPM. Na janela “Gerenciamento do TPM no computador local ”, procure o seguinte:
- Se aparecer a mensagem“O TPM está pronto para uso”, isso significa que o TPM está instalado e ativo.
- Se for exibida a mensagem“Não foi encontrado um TPM compatível”, o chip pode estar desativado no firmware ou pode não estar presente.
- Localize a versão da especificação na seção “Informações do fabricante do TPM ”. Observe que o Windows 11 requer a versão 2.0. Se a versão for 1.2 ou se estiver ausente, é possível que seu sistema não atenda aos requisitos do TPM do Windows.
Método 2: Validar o TPM por meio do PowerShell
Você também pode verificar o status do TPM usando o PowerShell como administrador. Esse método é excelente para administradores de sistema ou equipes de TI que precisam verificar o status do TPM em um ambiente gerenciado, abrangendo vários dispositivos.
- Abra o PowerShell como administrador. Observação: Você também pode usar o Windows Terminal (Admin), se estiver disponível.
- Em seguida, execute o comando de consulta do TPM:
Get-WmiObject -Namespace "Root\CIMV2\Security\MicrosoftTpm" -Class Win32_Tpm
- Procure os seguintes elementos na saída:
- IsEnabled_InitialValue = True – Isso indica que o hardware TPM está ativado.
- IsActivated_InitialValue = True – Isso confirma que o TPM foi ativado na BIOS/UEFI.
- SpecVersion = 2.0 ou superior – Confirma que a versão do TPM atende aos requisitos do Windows 11.
Depois de verificar se o TPM não foi encontrado ou está desativado, habilite-o nas configurações da BIOS/UEFI. O método a seguir explicará como fazer isso.
Como ativar o TPM 2.0 na BIOS/UEFI
Embora algumas etapas possam variar dependendo do dispositivo, é possível ativar o TPM 2.0 por meio das configurações da UEFI e da BIOS. Veja como:
- O primeiro passo é reiniciar o computador. Aperte o botão que aciona a BIOS/UEFI assim que a tela começar a reiniciar. Pode ser F2, F10, F12, Delete ou Esc, dependendo da configuração do PC.
- Uma vez no BIOS/UEFI, acesse a seção “Segurança ”, “Avançado” ou “Computação Confiável”. Sua localização exata depende do fabricante.
- Encontre e ative o TPM.
- Procure a PTT (Platform Trust Technology) nos sistemas Intel e ative-a .
- Localize e habilite a configuração do fTPM (Firmware TPM) ou do AMD fTPM em sistemas com chipsets AMD.
- Algumas versões do BIOS podem aparecer como “TPM Device” ou “Trusted Platform Module”.
- Pressione F10 (ou a tecla designada) para salvar as alterações e reiniciar o computador.
- Por fim, verifique se o TPM está ativado no Windows usando o tpm.msc ou o PowerShell.
No entanto, as interfaces variam de acordo com o fabricante. Em alguns casos, as opções do TPM podem aparecer como indisponíveis até que seja aplicada uma atualização de firmware.
Casos de uso de segurança e da Política de Grupo do TPM 2.0
Depois que o TPM 2.0 for ativado, ele disponibiliza uma ampla gama de recursos de segurança que você pode configurar por meio da Política de Grupo no Windows. Essas versões do Windows reforçam a segurança do sistema, protegem dados confidenciais e reduzem as oportunidades de ataques cibernéticos, especialmente em ambientes corporativos.
Casos de uso do TPM na Política de Grupo
- Criptografia de unidade do BitLocker. O TPM armazena com segurança as chaves de criptografia, que permitem a criptografia da unidade e protegem os dados mesmo que a unidade seja removida. Além disso, é possível aplicar políticas do BitLocker por meio da Política de Grupo.
- Guarda de Credenciais. Isso utiliza segurança baseada em virtualização para isolar as credenciais de login do sistema operacional, protegendo-as contra malware. Ele utiliza o TPM para armazenar e proteger segredos, ao mesmo tempo em que auxilia nas verificações de integridade do sistema.
- Validação da inicialização segura. O TPM auxilia na validação da integridade do firmware e do bootloader durante a inicialização, impedindo que rootkits e bootkits (tipos de malware que atacam a segurança da rede) sejam executados antes que o Windows seja carregado.
Como acessar e configurar políticas de TPM
- Abra a caixa de diálogo “Executar” com o atalho Win + R, digite gpedit.msc e pressione Enter. Isso abrirá o Editor de Política de Grupo Local (não disponível nas edições Home do Windows).
- Acesse:
Configuração do computador > Modelos administrativos > Sistema > Serviços do Módulo de Plataforma Confiável
- Você pode, então, configurar políticas como:
- Ativando ou restringindo o TPM para o BitLocker.
- A possibilidade de realizar a certificação remota de dispositivos protegidos por TPM permite que os administradores de TI garantam que os sistemas não tenham sido adulterados, mesmo quando estiverem fora das instalações.
- Aplicar os requisitos de chave ou PIN de inicialização do TPM.
Solução de problemas relacionados ao TPM 2.0
Você pode encontrar problemas ao ativar o TPM 2.0. Aqui estão alguns dos mais comuns, juntamente com suas soluções.
Assunto: Não foi possível detectar o TPM
Se o Console de Gerenciamento do TPM e o PowerShell não exibirem nenhum TPM, certifique-se de verificar o seguinte:
- Versão do firmware. É possível que você tenha um BIOS/UEFI desatualizado que não seja compatível com o TPM. A melhor opção é acessar o site do fabricante do seu computador (HP, Lenovo, Asus etc.) para baixar o patch mais recente e atualizar o BIOS do seu PC com Windows.
- Ausência de hardware. O TPM pode não estar fisicamente instalado em PCs mais antigos (anteriores a 2016) e em PCs montados sob medida. Verifique as especificações da sua placa-mãe para confirmar se o componente está fisicamente presente. Você pode tentar:
- Procure o modelo da sua placa-mãe no site do fabricante. A maioria dos manuais inclui uma seção sobre suporte ao TPM, na qual é possível verificar se existe um cabeçalho para um módulo complementar.
- Verifique se há um conector TPM. Alguns computadores de mesa possuem um soquete para TPM na placa-mãe, onde é possível instalar um chip TPM independente. Caso esteja instalado, você pode adquirir um módulo TPM compatível junto ao fabricante.
- Verifique no BIOS/UEFI se há opções relacionadas ao TPM de firmware (fTPM/PTT). Muitos sistemas modernos incluem um TPM baseado em firmware que você pode ativar pelo BIOS. Tente verificar novamente as configurações da BIOS para ter certeza de que essa opção não está presente.
Assunto: É necessária uma senha do BIOS
Se as configurações do firmware estiverem bloqueadas, você precisará de uma senha de administrador ou supervisor para modificar as configurações de segurança, incluindo a ativação do TPM. Você pode obter as credenciais por meio do seu departamento de TI ou consultar o manual ou a documentação do fabricante.
Assunto: Detecção inconsistente do TPM
Sistemas com a função “Inicialização Rápida” ativada podem não inicializar totalmente o TPM durante uma reinicialização. Para desativá-lo, siga estas etapas:
- Abra o Painel de Controle e acesse “Opções de energia”.
- Em seguida, selecione “Escolher a função dos botões de energia” e clique em “Alterar configurações que estão indisponíveis no momento”.
- Desmarque a opção “Ativar inicialização rápida”.
- Reinicie o computador e verifique novamente o status do TPM.
Como reinicializar o TPM
Se o TPM apresentar um comportamento inesperado ou tiver sido usado anteriormente em outro ambiente, você pode reiniciá-lo seguindo estas etapas:
- Abra a caixa de diálogo “Executar” (Win + R) e digite tpm.msc. Pressione Enter para abrir o Console de Gerenciamento do TPM.
- No painel direito, selecione “ e “Limpar TPM”. Se a opção não estiver disponível, clique em Atualizar.
- Siga as instruções e reinicie o computador.
IMPORTANTE: A limpeza do TPM pode apagar chaves vinculadas a recursos como o BitLocker, impedindo que você acesse arquivos criptografados. Importe e faça backup de suas chaves de recuperação e criptografia para eliminar essa possibilidade.
[início rápido]
Ativar o TPM 2.0 mantém seus sistemas com Windows 11 protegidos
Ativar o TPM 2.0 no seu PC e em ambientes gerenciados é extremamente importante para garantir a conformidade com o Windows 11 e habilitar recursos de segurança como o BitLocker e o Credential Guard.
Você pode verificar o status do TPM usando o tpm.msc ou o PowerShell e certificar-se de que a versão seja 2.0 ou superior. Caso não seja detectado, acesse as configurações da BIOS e habilite o PTT e o fTPM. Depois de ativada, você pode usar a Política de Grupo para aplicar proteções baseadas no TPM, incorporando-as ao seu processo de provisionamento.