Ошибка TPM — как исправить «Доверенный модуль платформы неисправен»

Кратко: если Windows показывает «TPM has malfunctioned» и приложения (Outlook, Office и т.д.) не запускаются, пройдите последовательность: чистая загрузка, подготовка TPM, обновление/переустановка драйвера TPM 2.0, очистка TPM, правки реестра для Office, удаление папки Ngc, удаление учётных данных и создание локального пользователя. Перезапуск и резервные копии перед критическими действиями обязательны.

Trusted Platform Module (TPM) — это аппаратный модуль безопасности, который хранит криптографические ключи и помогает аутентифицировать устройство. Иногда TPM может давать сбой: Windows сообщает, что модуль неисправен, а приложения вроде Outlook или пакета Microsoft Office не запускаются. В этой статье подробно описаны шаги устранения ошибки, разъяснены причины, указаны варианты отката и приведены контрольные списки для администратора и обычного пользователя.

Важно: перед очисткой TPM или изменением реестра обязательно сделайте резервную копию важных данных и запомните пароли/ключи шифрования. Некоторые операции необратимы и могут привести к потере доступа к зашифрованным данным.

Почему TPM даёт сбой — простая модель

Коротко о том, что происходит: TPM хранит ключи и метаданные безопасности. Сбой может произойти из-за несовместимого драйвера, некорректных настроек системы, повреждённых учётных данных, конфликта со сторонним ПО или аппаратной неисправности. Модель принятия решений: сначала программные исправления (чистая загрузка, драйверы, реестр), затем очистка/переинициализация TPM, и в крайнем случае — замена/проверка оборудования.

Полезные термины в одну строку:

• TPM: аппаратный модуль безопасности (аппаратный чип) для хранения криптографических ключей.
• Ngc: системная папка с ключами и PIN/Windows Hello данными.
• ADAL/Modern Authentication: современная модель аутентификации Microsoft (может влиять на Office).

План действий (обзор)

1. Выполнить чистую загрузку Windows.
2. Подготовить TPM через встроенную утилиту tpm.msc.
3. Обновить или переустановить драйвер TPM 2.0 (ошибка 80090016).
4. Очистить TPM через параметры безопасности устройства.
5. Отключить Modern Authentication для Office (если проблема с Office).
6. Взять права на папку Ngc и удалить её содержимое.
7. Удалить учётные данные приложения через Диспетчер учётных данных.
8. Создать новый локальный аккаунт при необходимости.

Ниже — подробное руководство по каждому пункту, рекомендации для разных ролей и дополнительные схемы принятия решений.

1. Выполните чистую загрузку

Зачем: чистая загрузка отключает стороннее ПО и службы, которые могут конфликтовать с системой и вызывать ошибку TPM.

Пошагово:

1. Нажмите Пуск и в поле поиска введите sysconfig. В результатах откройте «Конфигурация системы» (System Configuration).
2. Перейдите на вкладку «Службы».
3. Установите флажок «Скрыть все службы Майкрософт».
4. Выберите оставшиеся службы и нажмите «Отключить все».

5. Нажмите ОК и закройте окно «Конфигурация системы».
6. Нажмите CTRL+Shift+Esc, чтобы открыть Диспетчер задач.
7. На вкладке «Автозагрузка» последовательно выберите элементы автозагрузки и нажмите «Отключить» для каждого.

8. Перезагрузите компьютер.

Если после чистой загрузки ошибка исчезла — удалите недавно установленные приложения или службы по одной, чтобы найти виновника. После нахождения проблемного ПО верните конфигурацию системы к прежнему состоянию и удалите/обновите конфликтующее приложение.

Когда это не помогает: если проблема аппаратная или связана с повреждёнными ключами TPM, чистая загрузка не устранит её — переходите к шагам по драйверам и очистке TPM.

2. Подготовка TPM (tpm.msc)

Зачем: встроенная оснастка Windows для TPM позволяет убедиться, что модуль корректно инициализирован и готов к работе.

Как выполнить:

1. Нажмите Win + R, чтобы открыть «Выполнить».
2. Введите tpm.msc и нажмите Enter.
3. В правой панели нажмите «Подготовить TPM» (Prepare your TPM) и следуйте подсказкам мастера.

После завершения проверки перезагрузите систему и проверьте, повторяется ли ошибка.

Учёт безопасности: подготовка TPM может потребовать ввода пароля администратора и перезагрузки; убедитесь, что у вас есть резервные копии и доступ к учетным данным шифрования.

3. Модификация/переустановка драйвера TPM 2.0 — ошибка 80090016

Ошибка 80090016 часто связана с проблемами взаимодействия между ОС и драйвером TPM. Действия — обновление или удаление драйвера, чтобы Windows автоматически переустановил корректную версию.

Обновление драйвера TPM 2.0

Зачем: драйверы обеспечивают связь ОС с аппаратным модулем. Старый или повреждённый драйвер может вызывать сбои.

Как обновить:

1. Нажмите Win + R, введите devmgmt.msc и нажмите Enter для запуска «Диспетчера устройств».
2. Разверните раздел «Устройства безопасности» (Security Devices).
3. Правой кнопкой на «Trusted Platform Module 2.0» — выберите «Обновить драйвер».
4. Выберите «Выполнить автоматический поиск драйверов» (Search automatically for drivers). Windows скачает и установит доступные обновления.

5. Перезагрузите компьютер и проверьте работу.

Когда обновление не помогает — пробуем удалить драйвер и дать Windows восстановить его при загрузке.

Удаление драйвера TPM 2.0

Как удалить:

1. Откройте devmgmt.msc через Win + R.
2. Найдите «Trusted Platform Module 2.0» в разделе «Устройства безопасности».
3. Правой кнопкой выберите «Удалить устройство» (Uninstall device).

4. Подтвердите удаление и перезагрузите систему. Windows попытается автоматически установить драйвер при следующей загрузке.

Совет: если система не восстанавливает драйвер автоматически, скачайте драйвер с сайта производителя материнской платы или ноутбука.

4. Очистка TPM

Зачем: очистка сбрасывает внутренние ключи TPM и возвращает модуль к заводскому состоянию. Это помогает при повреждённых или несогласованных ключах, но приводит к потере доступа к данным, зашифрованным с помощью TPM.

Предупреждение: после очистки TPM все ключи, сертификаты и данные Windows Hello/BitLocker, завязанные на TPM, станут недоступны. Обязательно сделайте резервную копию BitLocker и экспортируйте ключи, если требуется.

Как очистить TPM:

1. Откройте Пуск → Настройки (Settings).
2. Перейдите в Обновление и безопасность (Update & Security).
3. В левой колонке выберите «Безопасность Windows» (Windows Security).
4. Нажмите «Безопасность устройства» (Device Security) и затем «Подробности о процессоре безопасности» (Security processor details).
5. Нажмите «Устранение неполадок процессора безопасности» (Security processor troubleshooting) и выберите «Очистить TPM» (Clear TPM).

После очистки выполнить перезагрузку и проверить, решена ли проблема.

Альтернатива для корпоративных устройств: если устройство управляется через MDM/AD, выполните очистку в соответствии с политиками организации и заранее сохраните ключи восстановления BitLocker в AD/MDM.

5. Отключение Modern Authentication для Microsoft Office

Когда это применимо: если ошибку TPM вы видите только при запуске Office/Outlook (часто с кодом c0090016), её иногда вызывает взаимодействие Modern Authentication (ADAL) и TPM. Решение — изменить ключ реестра, чтобы временно отключить ADAL для диагностики.

Важно: перед правкой реестра сделайте его резервную копию.

Как выполнить:

1. Нажмите Win + R, введите regedit и нажмите Enter.
2. Перейдите к ключу:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity

3. В правой части окна щёлкните правой кнопкой → «Создать» → DWORD (32-bit) Value.
4. Назовите параметр EnableADAL.
5. Дважды щёлкните по параметру и установите значение 0.
6. Закройте редактор реестра и перезагрузите компьютер.

Если это решило проблему — рассмотрите обновление Office до последней версии или обратитесь к администратору, чтобы настроить поддержку современного способа аутентификации.

6. Взять владение папкой Ngc и удалить её содержимое

Зачем: папка Ngc содержит данные Windows Hello/PIN. Если файлы повреждены, это может вызвать ошибки при проверке TPM.

Как безопасно удалить содержимое:

1. Откройте Проводник и перейдите в:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft

2. Найдите папку Ngc, щёлкните правой кнопкой → Свойства → Безопасность → Дополнительно.

3. Рядом с полем «Владелец» нажмите «Изменить» (Change). Потребуются права администратора.

4. Введите своё локальное имя пользователя и нажмите «Проверить имена» (Check names), затем OK.

5. Установите галочку «Заменить владельца на подконтейнерах и объектах» и примените изменения.
6. Откройте папку Ngc и удалите всё содержимое.
7. Перезагрузите компьютер.

Примечание: при следующем входе Windows может попросить заново настроить Windows Hello/PIN.

Риски: удаление Ngc приведёт к сбросу Windows Hello; если вы используете биометрию/PIN для входа, заранее подготовьте альтернативный способ входа.

7. Удалите учётные данные приложения через «Диспетчер учётных данных» (Credential Manager)

Зачем: повреждённые или устаревшие учётные данные Microsoft Office/Outlook могут конфликтовать с проверкой TPM.

Как удалить:

1. Введите в поиске Пуск «Диспетчер учётных данных» (Credential Manager) и откройте его.
2. Перейдите на вкладку «Учётные данные Windows» (Windows Credentials).
3. В разделе «Универсальные учётные записи» (Generic Credentials) найдите записи, связанные с Microsoft Office/Outlook.
4. Разверните каждую запись стрелкой и нажмите «Удалить» (Remove).

5. После удаления всех связанных учётных записей перезагрузите компьютер и повторно выполните вход в Office.

Замечание: вам потребуется повторно ввести пароли и заново авторизоваться в службах.

8. Вход через новый локальный пользовательский аккаунт

Когда это нужно: если проблема связана с профилем пользователя (повреждённые настройки, политики), создание нового локального аккаунта помогает понять, локальна ли ошибка.

Как создать локального пользователя:

1. Пуск → Настройки → Учётные записи (Accounts).
2. В разделе «Семья и другие пользователи» (Family & other users) нажмите «Добавить пользователя на этот компьютер» (Add someone else to this PC).

3. В мастере нажмите «У меня нет данных для входа этого человека» и затем «Добавить пользователя без учётной записи Майкрософт».

4. Заполните поля для локального аккаунта, задайте пароль и нажмите OK.
5. Перезагрузите компьютер и войдите под новым локальным аккаунтом.

Если под новым аккаунтом проблема не повторяется — переносите данные старого профиля в новый или создайте новый профиль и используйте его как основной.

Когда методы не помогают: аппаратная диагностика и диагностика производителя

Если перечисленные программные методы не устранили ошибку, вероятные причины:

• Физическая неисправность TPM-чипа.
• Проблемы с прошивкой (BIOS/UEFI) или несовместимость с версией TPM.
• Аппаратная проблема материнской платы.

Дальнейшие шаги:

1. Обновите прошивку BIOS/UEFI до последней версии от производителя.
2. В UEFI/BIOS проверьте настройки безопасности: включён ли TPM/Intel PTT/AMD fTPM и указана ли корректная версия (2.0).
3. Выполните диагностические утилиты от производителя устройства (Lenovo, HP, Dell и др.).
4. Обратитесь в сервисный центр или к производителю, если TPM аппаратно неисправен.

Решение для администраторов: чек-лист перед массовым откатом

Для IT-администратора:

• Сохраните резервные копии ключей BitLocker и политики Group Policy.
• Проверить журналы событий Windows: Event Viewer → Система/Приложения для ошибок TPM/Код 80090016.
• Развернуть тестовую группу (несколько ПК) и выполнить последовательность исправлений на контролируемой выборке.
• Внедрить обновления драйверов и прошивки через централизованные инструменты (WSUS, SCCM, Intune) с откатом.
• Документировать шаги и подготовить инструкции для пользователей.

Чек-лист для пользователя:

• Сделать резервную копию важных файлов.
• Попробовать чистую загрузку.
• Обновить Windows через Центр обновления.
• Перезагрузить устройство после каждого изменения.
• Если не уверены — связаться с администратором или службой поддержки.

Визуальная схема принятия решения (Mermaid)

flowchart TD
  A[Появилась ошибка TPM] --> B{Ошибка появляется при запуске Office?}
  B -- Да --> C[Попробовать удалить учётные данные]
  C --> D{Решено?}
  D -- Да --> Z[Готово]
  D -- Нет --> E[Отключить ADAL в реестре]
  E --> F{Решено?}
  F -- Да --> Z
  F -- Нет --> G[Продолжить полную диагностику TPM]
  B -- Нет --> G
  G --> H[Чистая загрузка]
  H --> I{Решено?}
  I -- Да --> Z
  I -- Нет --> J[Обновить/удалить драйвер TPM]
  J --> K{Решено?}
  K -- Да --> Z
  K -- Нет --> L[Очистить TPM]
  L --> M{Решено?}
  M -- Да --> Z
  M -- Нет --> N[Проверить BIOS/UEFI, обновить прошивку]
  N --> O{Решено?}
  O -- Да --> Z
  O -- Нет --> P[Аппаратная диагностика/замена TPM]
  P --> Z

Критерии приёмки

Чтобы считать проблему решённой, проверьте:

• Сообщение об ошибке больше не появляется при запуске проблемного приложения.
• Можно успешно войти в Windows и выполнить аутентификацию методом, который вы используете (PIN, пароль, биометрия).
• Если использовался BitLocker — диск доступен и ключ восстановления сохранён.
• На тестовой выборке ПК изменения не вызывают сопутствующих проблем.

Когда откатывать изменения и как откатиться

• Откат к прежней конфигурации рекомендуется, если после правок появились новые ошибки (например, невозможность войти в систему).
• Для отката: восстановите реестр из резервной копии, верните настройки «Конфигурации системы», восстановите файлы из резервной копии Ngc (если имелась), переустановите предыдущую версию BIOS/UEFI только в крайних случаях.

Риски и их смягчение

Риски:

• Потеря доступа к зашифрованным данным при очистке TPM.
• Неправильные изменения реестра могут повредить приложение Office или аутентификацию.
• Аппаратная замена TPM в некоторых устройствах невозможна (TPM припаян к плате).

Меры смягчения:

• Всегда сохранять ключи восстановления BitLocker и экспортировать нужные сертификаты.
• Делать резервную копию реестра перед изменениями.
• Тестировать изменения на одном устройстве перед массовым развёртыванием.

Короткий глоссарий

• TPM — модуль аппаратной безопасности.
• BitLocker — встроенное шифрование диска в Windows.
• ADAL — библиотека для современной аутентификации Microsoft.
• Ngc — папка с данными Windows Hello/PIN.

Частые вопросы и ответы (коротко)

Q: Безопасно ли очищать TPM? A: Безопасно только при наличии резервной копии ключей шифрования; очистка удаляет все ключи и может привести к потере доступа к зашифрованным данным.

Q: Можно ли восстановить удалённые ключи TPM? A: Нет — ключи TPM нельзя восстановить после очистки, их можно только переустановить или восстановить из резервной копии (если заранее экспортировали соответствующие данные).

Краткое резюме

TPM-инциденты чаще всего решаются последовательной диагностикой: отключение стороннего ПО, обновление драйверов, очистка/подготовка TPM и работа с учётными данными. Для корпоративных сред важна координация с администратором и сохранение ключей восстановител ных.

Важно: перед любыми критическими изменениями делайте резервные копии и сохраняйте ключи восстановления.

Заключение

Ошибка «TPM has malfunctioned» может выглядеть угрожающе, но в большинстве случаев её удаётся устранить программными средствами: чистой загрузкой, обновлением драйверов, очисткой TPM или корректировкой настроек Office/реестра. Если проблема аппаратная, обратитесь к производителю или в сервисный центр. Документируйте шаги устранения и заранее обеспечьте хранение ключей BitLocker и других важных криптографических материалов.