Por que o Windows 11 requer um TPM – e como contornar isso

Quando a Microsoft lançou o Windows 11 em 2021, seu novo e rigoroso teste de compatibilidade de hardware incluiu a verificação da presença de um Trusted Platform Module (TPM) – especificamente, um que atenda ao padrão TPM 2.0.

Então, o que é um TPM e por que o Windows insiste que você precisa de um?

Além disso: Como atualizar seu PC ‘incompatível’ com Windows 10 para Windows 11

A resposta simples é que um TPM é um criptoprocessador seguro, um microcontrolador dedicado projetado para lidar com tarefas relacionadas à segurança e gerenciar chaves de criptografia de uma forma que minimize a capacidade de invasores invadirem um sistema. O Windows usa esse hardware para uma variedade de recursos relacionados à segurança, incluindo inicialização segura, BitLocker e Windows Hello. O TPM realiza as tarefas matemáticas essenciais que tornam possível criptografar e descriptografar dados, gerar números aleatórios e validar assinaturas digitais. É também um local seguro para armazenar certificados digitais, chaves de criptografia e dados de autenticação de uma forma que não possa ser adulterada.

Mas a resposta completa é, como acontece com qualquer coisa relacionada à segurança de computadores, um pouco mais complicada.

A arquitetura TPM é definida por um padrão internacional (formalmente conhecido como ISO/IEC 11889), que foi criado pelo Trusted Computing Group há mais de 20 anos. A norma trata de como diferentes operações criptográficas são implementadas, com ênfase na “proteção da integridade, isolamento e confidencialidade (sic).”

Um TPM pode ser implementado como um chip discreto soldado na placa-mãe de um computador ou pode ser implementado no firmware de um chipset de PC ou na própria CPU, como Intel, AMD e Qualcomm fizeram na última década. Até a Microsoft entrou em ação, com seu processador de segurança Microsoft Pluton, que é integrado diretamente aos SoCs da AMD e da Qualcomm; ele pode ser usado como TPM ou como processador de segurança junto com um TPM discreto. Se você usar uma máquina virtual, poderá até construir um chip TPM virtual nela.

Além disso: se o seu PC com Windows 10 não puder ser atualizado, você terá 5 opções antes que o tempo acabe

Uma postagem de dezembro de 2024 no Windows IT Pro Blog da Microsoft defendeu que o TPM 2.0 é “um padrão inegociável para o futuro do Windows”. No mundo corporativo, pelo menos, essa transição já aconteceu, e a base mundial instalada de PCs que não suportam esse padrão deverá ser um número muito pequeno quando o suporte ao Windows 10 terminar, em outubro de 2025.

No Windows, o TPM funciona com o recurso Windows Secure Boot, que verifica se apenas código assinado e confiável é executado quando o computador é inicializado. Se alguém tentar adulterar o sistema operacional – para adicionar um rootkit, por exemplo – o Secure Boot impede a execução do código alterado. (Os Chromebooks têm um recurso semelhante chamado Inicialização verificada, que também usa o TPM para garantir que o sistema não foi adulterado.)

O TPM também permite a autenticação biométrica com o Windows Hello e contém as chaves BitLocker que criptografam o conteúdo de um disco do sistema Windows, tornando quase impossível para um invasor quebrar essa criptografia e acessar seus dados sem autorização. Para uma explicação técnica detalhada, você pode ler esta cartilha. Os PCs empresariais de última geração de hoje começam com um TPM 2.0 e outro hardware para permitir proteção de firmware e verificação avançada de identidade, bloqueando muitas ameaças comuns à segurança.

Além disso: As 4 maneiras mais fáceis de testar o Linux em seu PC antigo antes que o suporte do Windows 10 acabe

Então, o seu PC tem TPM? Se foi projetado em 2016 e vendido com o Windows pré-instalado, a resposta é quase certamente sim. Foi nesse ano que a Microsoft começou a exigir que os fabricantes enviassem PCs com TPM 2.0 disponível e habilitado por padrão. As CPUs Intel daquela época incluem um TPM 2.0 embutido no firmware (a Intel chama esse recurso de Platform Trust Technology, ou PTT). Também em 2016, a AMD começou a incorporar um TPM 2.0 baseado em firmware chamado fTPM.

Se o seu PC for mais antigo, ele ainda poderá conter um TPM. A Intel começou a incluir o recurso em seus processadores Core de 4ª geração (Haswell) em 2014, mas em geral essa tecnologia só estava disponível e habilitada em PCs construídos para o mercado empresarial. Os computadores construídos em 2013 ou anteriores podem incluir TPMs discretos separados da CPU; em sua maioria, os TPMs anteriores a 2014 seguiam o padrão TPM 1.2, que não é oficialmente compatível com o Windows 11.

Para complicar ainda mais as coisas, seu PC pode ter um TPM desabilitado nas configurações do BIOS ou firmware. Esse certamente será o caso em um PC configurado para usar um BIOS legado em vez de UEFI. Você pode verificar a configuração do seu PC com Windows usando a ferramenta Informações do sistema (Msinfo32.exe).

Além disso: 7 regras de senha para seguir em 2024, de acordo com especialistas em segurança

O Windows 10 e o Windows 11 são inicializados e assumem a propriedade do TPM como parte do processo de instalação. Você não precisa fazer nada de especial para configurar ou usar um TPM, além de certificar-se de que ele esteja habilitado para uso pelo PC. E não é apenas um recurso do Windows. PCs Linux e dispositivos IoT também podem inicializar e usar um TPM.

Os dispositivos Apple usam um design de hardware diferente chamado Secure Enclave, que executa algumas das mesmas operações criptográficas de um TPM e também fornece armazenamento seguro de dados confidenciais do usuário.

O nível extra de segurança que um TPM impõe em hardware resistente a violações é algo muito bom. Para ver detalhes sobre o TPM em seu PC com Windows, abra o Gerenciador de Dispositivos e procure no título Dispositivos de Segurança.

Além disso: por que ‘desbloquear’ o Windows é uma má ideia (e o que fazer em vez disso)

Em um PC com Windows 10 que inclua qualquer versão do TPM, você pode atualizar para o Windows 11 fazendo uma simples alteração no registro, mesmo que a CPU não seja oficialmente suportada. Se o seu PC não incluir um TPM, você precisará usar um hack não oficial para ignorar as verificações de compatibilidade de hardware e instalar o Windows 11. A maneira mais fácil de fazer isso é com a ajuda de um utilitário gratuito de código aberto chamado Rufus . Para obter detalhes, consulte “Como atualizar seu PC ‘incompatível’ com Windows 10 para Windows 11.”

Este artigo foi publicado originalmente em 18 de janeiro de 2024 e atualizado pela última vez em 19 de dezembro de 2024.