Включить TPM и Secure Boot для Windows 11

Windows 11 logo with split dark and light mode default wallpaper

Быстрые ссылки

Что такое Secure Boot и TPM?
Как включить TPM и Secure Boot
Как войти в BIOS/UEFI
Как проверить совместимость с помощью PC Health Check

К чему это приводит

Windows 11 требует конкретного аппаратного обеспечения: процессор Intel 7-го поколения или новее, или AMD Ryzen 3000 и новее, а также TPM и включённый Secure Boot.
TPM — аппаратный модуль для хранения криптографических ключей и защиты данных на уровне железа.
Secure Boot — функционал UEFI, который блокирует загрузку неподписанных или неавторизованных загрузчиков и операционных систем.

Важно: Microsoft рекомендует TPM 2.0. На практике некоторые системы с TPM 1.2 или без официальной поддержки могут получить Windows 11 через обходные методы, но такие установки могут не получать обновления от Microsoft.

Что такое Secure Boot и TPM?

TPM (Trusted Platform Module) — это отдельный аппаратный модуль или встроенная функция в CPU/чипсет, которая хранит уникальные криптографические ключи и защищает данные от постороннего доступа. Если ваш диск зашифрован, TPM хранит ключи шифрования так, чтобы злоумышленнику было сложно их извлечь.

Secure Boot — это механизм UEFI, проверяющий цифровые подписи загрузочных компонентов. Он предотвращает запуск неподписанных загрузчиков и вредоносных загрузчиков (rootkit/bootkit) до старта ОС.

Примечание: у разных производителей TPM может называться по-разному: Intel Platform Trust Technology (PTT) или AMD fTPM. Это одно и то же по назначению — аппаратная реализация TPM.

windows bios secure boot warning

Ограничения и побочные эффекты

Secure Boot может мешать некоторым сценариям, например, обычному dual-boot с неподписанными сборками Linux. Многие дистрибутивы Linux поддерживают Secure Boot, но при нестандартных настройках потребуется дополнительная настройка.
Если на диске используется MBR (Master Boot Record), Secure Boot потребует GPT (GUID Partition Table). Это означает, что может понадобиться конвертация диска перед включением Secure Boot.
Microsoft может ограничивать обновления для «неподдерживаемых» конфигураций. Устанавливая Windows 11 на несовместимое железо, вы делаете это на свой риск.

Как войти в BIOS/UEFI

Если экран с подсказкой нажатия клавиши для входа в BIOS/UEFI появляется слишком быстро, используйте восстановление Windows:

Перейдите в Настройки > Обновление и безопасность > Восстановление > Перезагрузить сейчас.
На синем экране выберите: «Поиск и устранение неисправностей» > «Дополнительные параметры» > «Параметры встроенного ПО UEFI» > «Перезагрузить».

Альтернатива при загрузке: нажмите клавишу, специфичную для производителя (Del, F2, F10, Esc) сразу после включения питания.

Как включить TPM в BIOS/UEFI

Шаги зависят от производителя платы и версии UEFI. Общая последовательность:

Зайдите в UEFI/BIOS.
Найдите разделы Security, Trusted Computing или Advanced.
Определите параметр TPM Device, AMD fTPM или Intel PTT.
Включите опцию и сохраните настройки (Save & Exit).

Пример для материнской платы MSI: Settings > Security > Trusted Computing > TPM Device Selection. На других платформах путь будет отличаться, но логика похожа.

msi motherboard enable tpm settings

Проверка в Windows после перезагрузки:

Нажмите Windows + R, введите:

tpm.msc

Откроется консоль управления TPM. Там будет указано состояние TPM и версия (1.2 или 2.0).

Если TPM отключён аппаратно или недоступен, вы увидите соответствующее сообщение.

Как включить Secure Boot

Откройте UEFI/BIOS.
Найдите раздел загрузки (Boot).
Найдите параметр Secure Boot и включите его (Enable).
Если требуется, установите режим Platform Key (PK) в «Standard» или «User».
Сохраните изменения и перезагрузитесь.

msi motherboard enable secure boot settings

Важно: Secure Boot работает только с GPT-дисками и режимом загрузки UEFI. Если ваш диск в MBR, Secure Boot не включится, пока вы не конвертируете диск в GPT.

Как конвертировать MBR в GPT без потери данных (Windows 10/11)

Windows включает средство mbr2gpt.exe, которое может безопасно конвертировать диск:

Откройте командную строку от имени администратора.
Запустите проверку:

mbr2gpt.exe /validate /allowFullOS

Если проверка прошла, выполните конвертацию:

mbr2gpt.exe /convert /allowFullOS

После успешной конвертации перезапустите систему и в UEFI включите Secure Boot.

Примечание: перед конвертацией сделайте резервную копию важной информации. В маловероятных случаях возможны проблемы с загрузкой, особенно если установлены кастомные загрузчики.

Проверка совместимости с Windows 11

Microsoft предлагает приложение PC Health Check для автоматической проверки совместимости. Скачать можно со страницы Microsoft. Альтернатива — open-source проект WhyNotWin11, дающий подробный разбор несоответствий.

Пошагово:

Скачайте PC Health Check или WhyNotWin11.
Запустите и посмотрите отчёт: CPU, TPM, Secure Boot, RAM, диск.
Если отчёт указывает на отсутствие TPM или Secure Boot — следуйте инструкциям выше.

Когда включение TPM или Secure Boot не помогает

Если CPU старше Intel 7-го поколения или AMD до Ryzen 3000, автоматическое обновление может быть заблокировано по политике Microsoft.
Если материнская плата не поддерживает UEFI полноценно, Secure Boot может отсутствовать.
Если в системе установлен кастомный загрузчик или старый RAID-контроллер, Secure Boot может мешать загрузке.

В таких случаях возможны варианты: чистая установка Windows 11 (с риском отсутствия обновлений), апгрейд компонентов или использование Windows 10 до тех пор, пока не станет возможен апгрейд железа.

Мини-методология: быстрый чек-лист перед обновлением

Сохраните резервные копии всех важных данных.
Убедитесь, что у вас есть образ восстановления Windows и установочная флешка.
Проверьте CPU и версию TPM (tpm.msc).
Включите TPM и Secure Boot в UEFI.
Если нужно, конвертируйте диск mbr2gpt.
Запустите PC Health Check и дождитесь подтверждения.
Обновитесь через Windows Update или выполните чистую установку.

Роль‑ориентированные чек‑листы

Для домашнего пользователя:

Проверить tpm.msc.
Включить AMD fTPM или Intel PTT в UEFI.
Включить Secure Boot (Boot > Secure Boot).
Сделать резервную копию.

Для IT‑администратора:

Проверить совместимость массово через скрипты и WMI.
Подготовить инструкцию для пользователей и образы восстановления.
Тестировать обновление на контрольной группе машин.

Для сборщика/производителя ПК:

Убедиться, что в BIOS по умолчанию TPM включён или доступен.
Предустановить ключи Secure Boot и корректную конфигурацию UEFI.
Предоставить документацию и инструменты для конвертации дисков.

SOP: последовательность действий для включения TPM и Secure Boot (короткий план)

Создайте резервные копии данных.
Перезагрузите и войдите в UEFI/BIOS.
Включите TPM (AMD fTPM или Intel PTT).
При необходимости конвертируйте MBR в GPT: mbr2gpt.exe.
Включите Secure Boot.
Сохраните изменения, перезагрузитесь.
Запустите tpm.msc и PC Health Check, подтвердите статус.

Критерии приёмки

TPM отображается как «Готово» и указывает версию 2.0.
Secure Boot включён в UEFI и система загружается.
Windows Update показывает предложение обновления на Windows 11 (если аппаратно совместима).

Матрица совместимости (упрощённая)

Компонент	Требование для Windows 11	Примечание
CPU	Intel 7‑го поколения или новее, AMD Ryzen 3000 или новее	Microsoft публикует полный список поддерживаемых моделей
TPM	Версия 2.0 рекомендуется	TPM 1.2 может пройти через обходные пути, но не рекомендуется
Secure Boot	Включён в UEFI	Требует GPT для загрузочного диска
Диск	GPT	MBR нужно конвертировать

Тестовые сценарии и критерии приёмки

Тест: Включение TPM и проверка в tpm.msc.
- Ожидаемый результат: консоль показывает статус «TPM готово», версия 2.0.
Тест: Конвертация MBR→GPT с помощью mbr2gpt.
- Ожидаемый результат: успешная конвертация без потери данных, система загружается в UEFI‑режиме.
Тест: Включение Secure Boot.
- Ожидаемый результат: Secure Boot установлен и система загружается; при наличии неподписанного загрузчика — загрузка блокируется.

Решение проблем и матрица рисков

Риск: Secure Boot не включается. Возможные причины:

Диск в MBR. Мера: конвертировать mbr2gpt.
Плата не поддерживает UEFI/Secure Boot. Мера: проверить документацию производителя, рассмотреть замену платы.

Риск: После включения Secure Boot система не загружается.

Проверьте, не используется ли старый загрузчик или шифрование, совместимое только с Legacy.
Временное решение: выключите Secure Boot, загрузитесь, исправьте загрузчик, повторно включите.

Риск: TPM не отображается в tpm.msc.

Проверьте настройки UEFI для Intel PTT/AMD fTPM.
Обновите микрокод/BIOS от производителя.

Альтернативные подходы

Если материнская плата не поддерживает TPM, можно установить аппаратный TPM‑модуль (если есть коннектор на плате). Это требует совместимой платы и модуля.
Для организаций возможна настройка централизованного управления через групповые политики и MDM, чтобы включать и конфигурировать TPM и Secure Boot массово.

Противопоказания и когда не следует включать Secure Boot

Если вы используете специализированный софт с неподписанными драйверами или загрузчиками, включение Secure Boot может нарушить работу. Сначала проверьте совместимость приложений.

Простая диаграмма принятия решения

flowchart TD
  A[План обновления на Windows 11?] --> B{CPU поддерживается?}
  B -- Да --> C{TPM доступен/включён?}
  B -- Нет --> X[Рассмотреть чистую установку или апгрейд железа]
  C -- Да --> D{Secure Boot включён и диск GPT?}
  C -- Нет --> Y[Включить TPM или установить TPM-модуль]
  D -- Да --> Z[Запустить PC Health Check и обновиться через Windows Update]
  D -- Нет --> W[Конвертировать диск в GPT и включить Secure Boot]

Краткая терминология

TPM — аппаратный модуль хранения криптоключей.
Secure Boot — проверка цифровой подписи загрузчика на уровне UEFI.
GPT — современная таблица разделов, требуемая для UEFI и Secure Boot.
MBR — устаревшая таблица разделов.

Локальные советы и подводные камни

Производители материнских плат иногда прячут параметры TPM под неожиданными пунктами меню. Если не можете найти — обратитесь к PDF‑мануалу платы.
На ноутбуках некоторые OEM выставляют TPM в выключенное состояние по умолчанию и требуют активации через скрытое меню или обновление BIOS.
При корпоративных устройствах политикой может быть запрещено изменение Secure Boot/TPM без одобрения IT‑отдела.

Короткое объявление для сотрудников/клиентов (100–200 слов)

Скоро начнётся поддерживаемое обновление до Windows 11. Перед началом убедитесь, что в ваших устройствах включены TPM 2.0 и Secure Boot. Для этого войдите в UEFI/BIOS и включите AMD fTPM или Intel PTT, затем включите Secure Boot. Если ваш диск ещё в MBR, конвертируйте его в GPT через mbr2gpt. Сохраните резервные копии и уточните совместимость через приложение PC Health Check. Если устройство старое или использует нестандартные загрузчики, обратитесь в IT‑поддержку. Без включённых TPM и Secure Boot автоматическое обновление может быть недоступно.

Итог

Включение TPM и Secure Boot — ключевая подготовка к обновлению на Windows 11.
Большинство современных материнских плат поддерживают AMD fTPM или Intel PTT и имеют опцию Secure Boot.
Сделайте резервную копию, проверьте tpm.msc, при необходимости конвертируйте MBR в GPT и используйте PC Health Check.

Важно: Если сомневаетесь — сначала протестируйте изменения на одном устройстве и убедитесь, что восстановление работает. Обновление на неподдерживаемом железе несёт риск отсутствия будущих обновлений от Microsoft.