TPM 和 Windows 功能

        Windows 11 的发布快速推动了 TPM 的普及率，从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间，在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护，但现在 TPM 已经作为一个必须启用的安全组件，包含在我们的 Modern Device 中。对于设备的最终用户，TPM 貌似并不直接与用户交互，但它却至关重要，例如 BitLocker 硬盘加密，Windows Hello 生物验证都需要用到 TPM，并且很多关键的安全功能也都会使用到 TPM，不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM，下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。

• 度量启动，需要 TPM，支持1.2和2.0，并依赖 UEFI 安全启动，微软建议使用 TPM 2.0，因为支持较新的加密算法。
• BitLocker，非必须 TPM，支持1.2和2.0，虽然 TPM 不是必须的，但微软建议基于 TPM 2.0 实施 BitLocker，因为性能更好，更安全可靠。
• 设备自动加密，需要 TPM，支持2.0，OEM 或 组织 IT 可以借助自动加密技术，预先配置 BitLocker，当条件满足时就会立刻启用 BitLokcer，无需等待或单独配置。
• Windows Defender System Guard（DRTM），需要 TPM，支持2.0。
• Credential Guard，非必须 TPM，支持1.2和2.0，与 DRTM 集成，利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。
• 设备运行状况证明（Device Health Attestation），必须 TPM，支持1.2和2.0，微软建议使用 TPM 2.0，因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。
• Windows Hello/Hello Business，非必须 TPM，支持1.2和2.0，AAD虽然加入了两个版本的支持，但需要带有键控哈希消息身份验证代码（Keyed-hash message authentication code - HMAC）和认可密钥（Endorsement Key - EK）证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。
• TPM 平台加密提供程序密钥存储提供程序，需要 TPM，支持1.2和2.0。
• 虚拟智能卡，需要 TPM，支持1.2和2.0。
• 证书存储，非必须 TPM，支持1.2和2.0，仅当证书存储在 TPM 中时才需要 TPM。
• Windows Autopilot，非必须 TPM，支持2.0，当使用自部署模式和预配部署模式（过去称之为 白手套模式）需要 TPM。
• SecureBIO，需要 TPM，支持2.0。

        注意：TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持，具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI，并且必须禁用旧版和兼容性支持模块（CSM）选项。为了增强安全性，还应启用安全启动（Secure Boot）。