Šifrování disku pomocí BitLockeru s čipem TPM | Kapitola 8
Seznam kapitol
Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.
Správa modulu TPM z Windows
Jako první se vždy ujistěte, že je modul TPM zapnutý v BIOSu. Ve Windows se pro správu modulu TPM používá utilita: tpm.msc
![tpm.msc](https://storage.googleapis.com/pctuning-cz/media/images/0574ta62021vwan60cd1d4db7089602771745.png)
Pokud TPM čip chybí nebo není zapnutý, dostanete následující výstup:
![TPM čip chybí](https://storage.googleapis.com/pctuning-cz/media/images/alsracm8sfbco0160cd1d4e6dc06626989009.png)
Řešení? Zapnout ho. Samozřejmě, pokud ho máte. Notebook ho asi má, základní deska může mít na desce konektor pro osazení, ale čipy se dokupují. Někdy se musí i v BIOS spustit jeho vymazání, viz výše.
A teď stejné menu se zapnutým TPM čipem.
![TPM čip přítomný a zapnutý](https://storage.googleapis.com/pctuning-cz/media/images/7bl5wpcds9b3ht060cd1d4f3d2c9757406742.png)
A takhle vypadá implementace fTPM v AMD Ryzen.
![AMD fTPM čip přítomný a zapnutý](https://storage.googleapis.com/pctuning-cz/media/images/jueqg09oo9lwlms60cd1d4fca84f747738190.png)
V menu je vidět, že mám čip TPM verze 2.0 a také mohu čip vymazat a připravit. (Lepší mazat TPM z BIOSu.)
![Smazání TPM](https://storage.googleapis.com/pctuning-cz/media/images/7bl5wpcds9b3ht060cd1d4f3d2c9757406742.png)
A takhle vypadá TPM čip ve správci zařízení:
![Správce zařízení](https://storage.googleapis.com/pctuning-cz/media/images/8rfpcf6uuc1jc0k60cd1d5062371125355921.png)
Verze TPM
Starší verze TPM 1.2 dělala víc problémů, čip se velmi snadno „naštval“, bylo potřeba ho vymazat nebo alespoň BitLocker pozastavit a znovu spustit. Novější verze TPM 2.0 si toho nechá líbit víc a dohromady s Windows 10 vše funguje myslím skvěle.
Co TPM čip umělo naštvat:
- Stisknutí F8 v průběhu startu počítače
- Vyjmutí nebo naopak vložení do dokovací stanice
- Výměna hardware, připojení externího zařízení kromě USB
- Aktualizace BIOS
Kombinace Windows 7/8 a TPM čipu 1.2 se nechovala přívětivě, často bylo potřeba zadávat obnovovací klíč, pozastavit BitLocker a restartovat PC. Naopak TPM 2.0 v kombinaci s Windows 10 se chová pěkně.
Naopak verze TPM 2.0 často vyžaduje Secure Boot, rozdělení disku GPT a start pouze UEFI. Bez toho se může BitLocker zdráhat systémový disk zašifrovat.