Защита TPM 2.0 в современных операционных системах работает за счёт проверки целостности системы. 14 TPM запускает первым, проверяет прошивку, а затем передаёт управление дальше, гарантируя, что система стартует без посторонних вмешательств. 1

Некоторые функции защиты TPM 2.0:

• Безопасная загрузка и защита прошивки. 1 TPM 2.0 фиксирует контрольные суммы компонентов UEFI, драйверов и загрузчиков. 1 Если злоумышленник попробует заменить их вредоносной версией, модуль обнаружит расхождение и прервёт запуск. 1
• Прозрачное шифрование диска. 1 BitLocker, VeraCrypt и LUKS могут хранить мастер-ключ шифрования не в памяти компьютера, а в TPM. 1 Пользователь вводит только PIN-код, а остальное делает чип. 1
• Двухфакторная аутентификация без лишних устройств. 1 При помощи стандарта FIDO2 TPM заменяет внешние ключи U2F. 1 Пароль + проверка подлинности устройства дают полноценный 2FA, не требуя носить с собой брелоки. 1
• Удалённая аттестация рабочих мест. 1 Администратор может запросить у TPM отчёт о целостности и разрешить подключение к корпоративной сети только тем компьютерам, которые прошли проверку. 1
• Защита контейнеров и виртуальных машин. 1 Облачные провайдеры предлагают vTPM: виртуальный экземпляр модуля с аппаратной привязкой. 1 Это позволяет изолировать секреты каждой VM даже при компрометации гипервизора. 1

TPM 2.0 является обязательным требованием для установки операционной системы Windows 11. 34