A che serve Secure Boot e TPM su un PC, Verifica e attivazione
Come verificare se sul PC sono presenti Secure Boot e TPM 2.0, cosa sono, a che servono e come si attivano
Se abbiamo iniziato a seguire tutte le news su Windows 11 sicuramente saremo incappati in due termini molto difficili da comprendere, in grado di spiazzare anche l'utente del web più navigato: Secure Boot (avvio protetto) e TPM. Queste sue caratteristiche sono fondamentali per far funzionare Windows 11, ma prima di capire come si attivano, conviene scoprire cosa significano e quali funzioni introducono nel nuovo sistema operativo targato Microsoft.
Nei seguenti capitoli vedremo insieme cosa significano Secure Boot e TPM e come si attivano, così da poter passare a Windows 11 senza schermate d'errore e senza dover utilizzare dei trucchi per bypassare questi sistemi di sicurezza.
LEGGI ANCHE -> Controlla se il PC è pronto per Windows 11 e requisiti minimi
Cosa sono Secure Boot e TPM
Secure Boot o Avvio protetto è la tecnologia UEFI che consente di elementi software (kernel e driver) non certificati con una chiave crittografica autorizzata, contenuta in un archivio del firmware. Microsoft è grande sostenitore di Secure Boot fin da Windows 8.1, dove ha fatto la sua comparsa sui nuovi sistemi: con esso attivo possiamo impedire che malware o altre minacce (ad esempio modifiche ai certificati non validate) possano essere avviati all'accensione/riavvio della macchina. Secure Boot è parte integrante di UEFI, quindi per poterlo eseguire è necessario che il computer in uso supporti UEFI come nuovo BIOS di sistema.
TPM (Trusted Platform Module) identifica un modulo presente sulla scheda madre pensato per aumentare sensibilmente la sicurezza informatica. Questo chip è dotato di una coppia di chiavi crittografiche uniche che rendono univocamente identificabile la scheda madre in uso (e di riflesso il PC), oltre a dotare tutti i sistemi di un motore per la crittografia asimmetrica per la criptazione dei dati.
Con TPM viene rinforzata la sicurezza del Secure Boot ed è possibile salvare in maniera sicura anche dati personali sensibili come impronte digitali, modello di riconoscimento del viso e password d'accesso. Nel corso degli anni sono sono state rese disponibili due versioni di TPM: TPM 1.2 e TPM 2.0, ma solo quest'ultima è valida per il corretto avvio e funzionamento di Windows 11.
TPM è anche presente nei più recenti processori Intel e AMD, quindi anche se sulla scheda madre fosse assente, si potrà comunque attivare.
LEGGI ANCHE: Si può installare Windows 11 come macchina virtuale in Hyper-V senza TPM
Come verificare la presenza di Secure Boot
Come accennato nell'introduzione Secure Boot e TPM sono fondamentali per poter avviare correttamente Windows 11; se non abbiamo intenzione di acquistare un nuovo portatile pronto per Windows 11, conviene controllare subito se il PC fisso o il notebook in uso supportano Secure Boot e TPM, oltre a verificare la loro attivazione.
Per controllare se è attivo SecureBoot, basta premere insieme i tasti Windows-R o premere col tasto destro sul menù Start e poi cliccare Esegui. Da qui, eseguire il comando msinfo32. Sulla schermata a destra, la riga Stato Avvio Protetto ci dirà se Secure Boot è attivo oppure no.
Da questa stessa schermata si può controllare anche se la modalità BIOS è UEFI e non Legacy. Se fosse Legacy, allora si deve converire in UEFI (come vedremo più in basso di questa guida). Se la modalità BIOS è UEFI, ma SecureBoot non è attivo, lo si può poi attivare dalle impostazioni del BIOS.
LEGGI ANCHE: Come funziona Avvio protetto (Secure Boot) e come si disattiva
Come verificare se è presente TPM
In Windows 10, si può verificare la presenza del modulo TPM sul PC in uso in tre modi:1) Aprire le Impostazioni di Windows 10, andare in Aggiornamento e Sicurezza e premere su Sicurezza di Windows e poi su Apri Sicurezza di Windows. Di seguito, premere l'icona sulla destra della Sicurezza dispositivi (al momento è la terza dal basso) e poi premere su Dettagli processore di sicurezza. La schermata che segue ci darà le informazioni sul TPM, produttore e, soprattutto, versione specifiche che dovrebbe essere 2.0 se si vuol installare Windows 11.
2) Si può controllare la presenza del modulo TPM anche dal menù Start: Sul menù Start, cercare tpm.msc e poi aprire il programma. La schermata ci dirà lo Stato del TPM, se è pronto all'utilizzo, è la versione, che deve essere 2.0
3)Si può anche controllare la presenza di TPM dal promtp dei comandi (come amministratore), lanciando il comando: wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm . In questo modo si otterrà come risposta se TPM è presente e attivo e la versione (SPECVERSION)
Se TPM non è stato trovato, non è detto che non si possa attivare dalle impostazioni di UEFI.
Per eseguire un controllo relativo ai requisiti di Windows 11 e la presenza di TPM oltre che di Securre Boot, possiamo utilizzare il tool WhyNotWin11, disponibile dal sito ufficiale.
Avviando questo piccolo tool potremo verificare il metodo boot attivo in quel momento (deve essere UEFI), se è attivo Secure Boot e la versione del chip TPM (deve essere TPM 2.0) senza dover aprire mille schermate e senza dover accedere al BIOS UEFI. Per poter installare Windows 11 dobbiamo ottenere semaforo verde in tutte le voci presenti, altrimenti l'installazione potrebbe non andare a buon fine.
Come attivare Secure Boot
Se dalle verifiche fatte risulta come metodo di avvio Legacy o non è attivo il Secure Boot, dobbiamo seguire una procedura per passare da BIOS a UEFI.
Vi ricordiamo che non tutte le schede madri supportano UEFI (anche se deve essere molto vecchia): conviene quindi controllare prima il modello di scheda madre e scoprire se è presente UEFI.
Non serve reinstallare WIndows 10 per attivare UEFI se si sta usando un BIOS Legacy, ma si può usare il tool di Microsoft mbr2gpt per convertire un disco da MBR a GPT su Windows 10, come descritto nella guida da BIOS a UEFI.
Così facendo abbiamo modificato il partizionamento del disco, convertendolo da MBR a GPT. Ora possiamo attivare Secure Boot entrando nel BIOS UEFI e attivando la voce Secure Boot (o Avvio Protetto) nel menu Security o Sicurezza o simili. Di solito la voce Secure Boot è impostata su Disabled o su Legacy; accertiamoci che sia impostata su Enabled.
Può darsi che nell'attivare Secure Boot vengano richieste le chiavi con il messaggio Repeat operation after enrolling Platform Key (PK). In questo caso, provare a Secure Boot Mode su standard o andare nella sezione BIOS per rinnovare le keys con quelle di test.
Se il PC ha il partizionamento GPT e Secure Boot è attivato a livello UEFI ma Windows 10 o Windows 11 non rilevano la modifica, possiamo intervenire portandoci nel percorso Start > Impostazioni > Aggiornamento e sicurezza > Ripristino > Avvio avanzato, premendo su Riavvia ora e, una volta giunti nella schermata di ripristino, portarci nel menu Risoluzione dei problemi > Opzioni avanzate > Impostazioni firmware UEFI per disabilitare CSM e abilitare Secure Boot.
Come attivare TPM
Entrando nel SEtup di UEFI, che si fa premendo il tasto indicato sullo schermo com all'accensione del computer, bisogna trovare l'opzione del TPM o Trusted Platform Module oppure cercare nomi come fTPM, PTT o PSP.
Per esempio, in alcune schede madri come quelle di Gagabyte o ASRock è possibile che questa opzione si trova sotto Peripherals con un nome diverso a seconda del processore:
- se processore AMD, lopzione si chiama AMD CPU fTPM
- Se il processore è Intel, si chiama Intel Platform Trust Tecnology (PPT)
Ricordarsi di salvare le modifiche del BIOS quando si esce, premendo su Save and Exit.
Per viene rivelato che TPM 2.0 non è attivo sul nostro computer possiamo provare ad avviarlo portandoci nuovamente nel menu Impostazioni > Aggiornamento e sicurezza > Ripristino > Avvio avanzato, premendo su Riavvia ora e portandoci in Risoluzione dei problemi > Opzioni avanzate > Impostazioni firmware UEFI, da dove è possibile attivare l'opzione per TPM.
Conclusioni
Ora sappiamo a cosa serve Secure Boot e TPM e perché sono così importanti per avviare Windows 11 su tutti i computer compatibili. Se non abbiamo ancora attivato Secure Boot applichiamo la procedura vista in alto, così da poter attivare tutte le modifiche necessarie e rendere la nuova installazione di Windows compatibile con tutte le novità in termini di sicurezza. TPM dovrebbe essere automaticamente attivo a livello UEFI, ma anche in questo caso possiamo sempre accedere all'UEFI o alle impostazioni avanzate di Windows per attivarlo prima di passare a Windows 11.
In caso di problemi con UEFI o con l'avvio protetto vi consigliamo di leggere anche le nostre guide Come aggiornare il BIOS / UEFI del PC e Come fare il reset del BIOS.