TPM 介绍：芯片标准、用途、厂家、

如何关闭 TPM

信息安全技术频道🔎出品

目录
TPM 介绍：芯片标准、用途、厂家、如何关闭 TPM ......................................................................... 2
一、TPM 标准与芯片............................................................................................................................. 2
1、TPM 标准 ................................................................................................................................... 2
2、TPM 芯片（securitychip，安全芯片） ........................................................................... 2
3、IntelPTT ....................................................................................................................................... 3
二、TPM 芯片安装现状 ........................................................................................................................ 3
三、关闭 TPM 的方法 .......................................................................................................................... 4
（一）在 BIOS 中关闭 TPM 方法........................................................................................... 4
（二）在 TPM 管理控制台（管理单元）关闭 TPM （最方便） .............................. 7
（三）组策略禁用 TPM 1.2 或 2.0 芯片 ............................................................................... 8
（四）软件自动安装器 V1.1 中关闭 TPM 的设置 .......................................................... 10
四、TPM 安全芯片用途与生产厂家 ............................................................................................... 10
TPM 介绍：芯片标准、用途、厂家、
如何关闭 TPM

一、 TPM 标准与芯片

1、 TPM 标准
TrustedPlatformModule（可信赖平台模块）简称 TPM ，是国际行业标准组织
可信计算组织 TCG（TrustedComputingGroup）制定的标准，2004 年推出
TPM 1.2 国际标准，大陆另外推出了自己的 TCM 标准，与 TPM 1.2 抗衡。
TPM 1.2 规范主要面向 PC 平台，其 103 版本在 2009 年被接受为 ISO 标准
（ISO/IEC11889）。

2014 年推出 TPM 2.0 标准（内地也参与制定），2015 年被接纳为国际标准。

TPM 2.0 标准兼容国产 TCM。

2、 TPM 芯片（securitychip，安全芯片）
TPM 安全芯片，是指符合 TPM 标准的安全芯片，它能有效地保护 PC、防止
非法用户访问。从 2006 年开始，电脑开始内置可信平台模块芯片。

一般笔记本在 BIOS 中都用 TPM 这个名称。联想 TPM 芯片在 BIOS 中显示

名称是“securitychip”（安全芯片），比较特殊。富士通 TPM 芯片在 BIOS 中
显示名称 TPM （securitychip）。

电脑 TPM 芯片分符合 TPM 1.2 标准的芯片与 TPM 2.0 标准的芯片。 TPM

2.0 与 TPM 1.2 芯片不兼容。 TPM 1.2 芯片需要确认才能生效，TCG 推荐默
认情况下关闭 TPM 。而 TPM 2.0 芯片出厂就激活，不需确认， TPM 2.0 规
范中没有强制规定必须有一个关闭“开关”。在国内 TPM 1.2 芯片是非法的，不
许电脑生产商装 TPM 1.2 芯片。2009 年就明确禁止国内电脑安装 TPM 1.2 模
块，所有国内销售的主板都不能使用使用未经批准的 TPM 芯片。是合法的。
开启 TPM 功能。

2014 年电脑开始搭配 TPM 2.0 芯片。原版 Win7 系统不含 TPM 2.0 芯片的驱
动。
3、IntelPTT
在 TPM 2.0 规范推出之前，2013 年夏季 Intel 推出的英特尔平台可信技术
（Intel®PlatformTrustTechnology 简称 PTT）。英特尔平台信任技术
（IntelPTT）是一种虚拟 TPM 。它驻留在您的 NUC 的 FW，并由系统 BIOS
控制。它模拟的 TPM 版本是 TPM v2.0，Windows7 无法识别。PTT 主要用
于密钥管理（密钥的加密及存储）和安全认证服务，将安全信息存储于计算机
硬件中。PTT 所需硬件环境：IntelSharkBay 移动平台 HaswellULT 架构。PTT
支持操作系统：Windows8，Windows8.1 及以后版本。PTT 支持可信平台模块
（ TPM ）2.0v.0.88 所有 Microsoft 强制的命令。这是英特尔管理引擎第四代
英特尔酷睿处理器的集成解决方案的超低 TDP（ULT）平台。一般 IntelPTT 可
认为是 TPM 2.0。

如果电脑 BIOS 中有 TPM 与 IntelPTT 这两项，则 TPM 是指 TPM 1.2，

IntelPTT 是 TPM 2.0。 TPM 2.0 与 TPM 1.2 芯片不兼容。

二、 TPM 芯片安装现状
一般家用台式品牌机、组装机没有 TPM 芯片（安全芯片）。以前 DELL、
hp、东芝等的非大陆品牌商务机（含移动工作站）与商务本、ibm 晚期与联想
中档以上部分笔记本都有 TPM 1.2 标准的芯片。现在 TPM 2.0 芯片逐渐成为
平板与预装系统的笔记本标配，国外品牌与联想中端笔记本如 E460、平板如微
软平板 Surface3、dell、国产高端平板等都开始搭载 TPM 2.0 芯片。

大陆以安全为由，要求电脑只能采用国内生产的 TPM 芯片。除国产联想、清

华同方外，国外商务机一般采用進口 TPM 芯片。其中 TPM 1.2 没被大陆审
核通过，所以安装進口 TPM 1.2 芯片违反大陆法律，只有兼容内地 tcm 安全
标准、采用国内生产的 TPM 2.0 芯片才能在国内销售。国外品牌同一型号的笔
记本如果内销，搭配的進口 TPM 1.2 芯片大多是关闭或屏蔽的或者去掉。
Dellvenue11pro 有的型号是带 TPM 安全芯片；有的不带 TPM ，是屏蔽或去
掉。Surface3 外销版有 TPM 2.0 芯片，国行版去掉 TPM 2.0 芯片。联想获得
国内兆日公司的授权，安装自产的恒智芯片，不违法。联想以前的安全芯片应
该是兼容 TPM 1.2 与大陆 tcm 安全标准的芯片。

结论：2014 年以前内地销售机型即国行版（平板或商务机或笔记本），除联想
外 TPM 1.2 芯片基本上是不能用的，屏蔽或者去掉 TPM 芯片；国外销售商
务机或笔记本或二手笔记本， TPM 1.2 芯片就有可能是开启的（默认是关闭
的）。

联想中档以上笔记本一般有 TPM 芯片。除联想外国产电脑基本没有安装国内

TCM 标准的芯片。
2014 年以后国外中端笔记本、国产中高端笔记本或 intel 平板开始装 TPM 2.0
芯片。 TPM 2.0 多数是没有初始化的，可以开启的。低端新笔记本没有 TPM
芯片。

三、关闭 TPM 的方法

（一）在 BIOS 中关闭 TPM 方法

在 BIOS 关闭 TPM 是最安全的。通过 TPM 管理控制台关闭 TPM 或组策略
禁用 TPM 设备等方法安全性不如 BIOS 关掉 TPM ，换了系统又要从做一
次。

所有品牌如果有 TPM 芯片，一般可以在 BIOS 设置关闭。一般在 BIOS 的

Security（安全）或 Securitycontrol 选项找到并设置，有些可以在
advancedBIOSfeatures 取消对 TPM 的支持。 TPM 1.2 芯片默认关闭，
TPM 2.0 芯片出厂就激活。

1、BIOS 中 TPM 选项常遇到的英文的含义及其状态

电脑不同，选项与用词略有差异。 TPM 状态大致分为三种：起作用、不起作

用但显示、不起作用且隐藏。有些电脑仅有两种状态：起作用、不起作用。操
作上还有清除 TPM 、恢复 TPM 出厂设置（一般是 TPM 未设置状态）。

TPM 所在位置、状态与操作：Security（安全）、disable=失效（即关闭
TPM ）、Enable=有效（即启用 TPM ）、Available（可用）、Hidden（隐
藏）、Activation（激活）、Inactive（不激活）、Clear（清除 TPM ，注意：
清除同时会关闭 TPM ）、ON/OFF（开启/关闭）、LoadDefaults（恢复默认
设置）、ResetToFactorySettings（恢复到出厂值）。

注意：关闭 TPM 后并不一定会隐藏（即不在设备管理器显示 TPM 设备），

可能仍会在设备管理器中显示。

（1）如果 BIOS 中 Security 选项没显示 TPM 这几个字母（联想比较特殊，

显示的是 securitychip），则可能主板没有 TPM 芯片或 TPM 已在 BIOS 被
厂家隐藏关闭，就不存在关闭 TPM 问题。

（2）如果 BIOS 中 Security 选项的 TPM 有关选项是灰色，不能设置，应该

是厂家没有初始化 TPM 即 TPM 是屏蔽的， TPM 根本没有启用，谈不上关
闭与开启 TPM 问题。但在设备管理器中安全设备里面的“受信任的平台模块
1.2”仍显示运转正常，或没有 TPM 设备。

（3）如果 BIOS 中 Security 选项的有关 TPM 选项是可设置，就能在 BIOS 关

闭 TPM 。
（4） TPM 1.2 默认是关闭的， TPM 2.0 默认是开启的（外销机型）或屏蔽
不起作用的（内销机型）。

2、各种品牌机在 BIOS 关闭 TPM

（1）ibm 与联想关闭 TPM 步骤

按 F1 键進入 BIOS 设置。选择“Securiy”->“SecurityChip”

如果选择“Active”，安全芯片生效。如果选择“Inactive”，安全芯片可见，但不生
效。如果选择“Disabled”，安全芯片隐藏且不生效。应该选 Disabled，回车后
选“Yes”，保存退出即可。在设备管理器中不会显示出 TPM 安全设备

（2）惠普 BIOS 关闭 TPM 步骤（型号不同，选项略有差异）

开机按 F10，進入 BIOS

①单击 BIOS 的 Security 选项-> TPM EmebeddedSecurity。

如果 Securiy 中 TPM EmebeddedSecurity 为灰色，不可点击進入。需要设置

BIOS 管理员密码

回车（按 Enter）后，会弹出再次输入密码的界面，再次输入密码，回车。点
击 Securiy，会看到 TPM EmebeddedSecurity 可以点击。

②如果 TPM 设备是隐藏（hidden），需要先将 TPM 设备由隐藏（Hidden）

改为可用（Available），然后才可设置 TPM 设备状态（State）等，

注意：将 TPM 设备（ TPM Device 或 EmebeddedSecurityDevice）设为

Available（可用），就可以更改 TPM 设备状态，操作系统才能访问相应设
备，就可以将 TPM 设备状态设为启用/禁用。如果 TPM Device（ TPM 设
备）设为 Hidden（隐藏），就不能更改 TPM 设备状态，操作系统则不能访问
相应设备；此项被 BIOS 禁用，就无法由操作系统启用。

③设置 TPM 设备状态（State）设为 Disable 或去掉 TPM 设备状态

（State）前面的勾或点。

TPM 设备状态（ TPM State 或 TPM Status）：

EmebeddedSecurityDeviceState。（机型不同，选项略有差异。

有些机型如果在 TPM State 前面打勾或打点，对应启用 TPM ，去掉前面的勾

或点，对应禁用 TPM 。一般去掉前面的勾或点。

有些机型如有 OSManagementof TPM 这项，选择去掉前方对勾。

TPM State 有些机型有 Enable（启用）、Disable（禁用）两项可以选择，一

般要选 disable（禁用）。
其它选项

ResetToFactorySettings（恢复到出厂值）有 yes 或 no，一般可以不管。

OSManagementofEmbeddedSecurityDevice（操作系统管理内置安全设备）
—启用或停用操作系统控制 TPM 设备的功能（包括启动/关闭、初始化、重置
TPM 设备），可以停用，去掉前面的勾。

ResetofEmbeddedSecurityDevicethroughOS（通过操作系统重置内置安全设
备）—启用/停用操作系统重置 TPM 的功能。仅当操作系统管理内置安全设备
处于启用状态时，才可用，可以不管。

清除 TPM ：设置选项为“否”和“是”，选“是”，也可以。不清除 TPM 也可以。

清除 TPM 同时会自动关闭 TPM 。

④ TPM Device（ TPM 设备）：EmebeddedSecurityDevice 设为 Hidden

（隐藏）或 Disable。这步设置后，设备管理器将不会显示出 TPM 安全设
备。

然后按 F10 保存设置重启即可。

清除 TPM ：设置选项为“否”和“是”，选“是”，也可以。不清除 TPM 也可以。

清除 TPM 同时会自动关闭 TPM 。

（3）dell 的 BIOS 关闭 TPM 步骤：

TPM ActivationDeactivate/Activate/Clear 对应着 TPM Activation 不激活（取

消激活）/激活/清除，应该选 Deactivate。如果选 Clear 清除，会清除 TPM 信
息，并且会关闭 TPM 。

如果设置为 Activate（激活），则在默认设置下启用 TPM 。如果设置为

Deactivate（取消激活），则禁用 TPM 。NoChange（无更改）状态不启动
任何操作。 TPM 的操作状态保持不变（ TPM 的所有用户设置将会保留）。

BIOS 的 Security 选项--> TPM SecurityOn/Off 启用或禁用 TPM ，国内禁用预

设选 Off 用于启用或停用可信赖平台模块安全保护装置。

TPM Activation（ TPM 启动）（预设为 Deactivate[关闭]）启动或关闭可信赖

平台模块安全保护装置。Clear（清除）选项将清除先前启动和使用 TPM 的用
户所储存的所有数据。

注：若要启动可信赖平台模块， TPM Security（ TPM 安全保护）选项必须

设定为 On（开启）。

注： TPM Security（ TPM 安全保护）设置为 Off（关）时，该字段为只读。

启动或关闭可信赖平台模块安全保护装置。Clear（清除）选项将清除先前启动
和使用 TPM 的用户所储存的所有数据。

DELL7130/7140 平板
進入 BIOS 的设置：按开机键，感到震动后松手，再长按“-”号就可進入
dellvenue11pro7130BIOS,settings（设置）中的 Security。

右边界面左上角的“ TPM Security”是灰色的，不能操作。

其中“LoadDefaults”是恢复默认设置的意思，执行以后可能“ TPM Security”就能

操作了。

Intel®PlatformTrustTechnology（PTT）------ TPM 2.0

注：第一个 TPM 为 TPM 1.2，PTT 为 TPM 2.0 版。默认都未启用，如果打

勾了，要取消勾选。

（4）、东芝关闭 TPM 步骤：东芝自产的 BIOS 芯片

Esc 再按 f1 進入 BIOS 设置，fn+PgDn 打开 BIOS 的第二页

Securitycontrol 中 TPM 的选项只有两个：disable 与 Enable，选择 disable

（5）富士通电脑（与 hp 有点类似）

TPM （securitychip）中 securitychip 先选 Enable（有效），再选择 Current

TPM State（当前 TPM 状态）选 DisablesandDeactivated（无效未激活），
最后 securitychip 选为 Disables。

（6）含 TPM 接口的台式机主板

微星 880g 主板

TCG/ TPM （TCG 国际组织/ TPM ）support，设为 no。这个选项一般都是灰

色不可设置的。因为这类台式机主板一般没有 TPM 芯片，但保留 TPM 芯片
的接口，所以出现这个选项。

（二）在 TPM 管理控制台（管理单元）关闭 TPM

（最方便）
从 Vista 开始的系统，微软的 Win7/Win8/Win8.1/Win10 系统都集成 TPM 组
件。 TPM 安全芯片开始发挥作用，大量的系统安全功能也都将通过其来实
现。在系统 TPM 管理控制台（管理单元）可以关闭 TPM ，这是最方便方
法。在 TPM 管理控制台（管理单元）关闭 TPM ，即使换系统， TPM 关闭
状态仍然有效。

建议系统不要卸载 TPM 组件,可以去掉 TPM 驱动。

1、xp 系统依次单击“开始”-->“所有程序”-->“附件”，然后单击“运行”。在“打开”
框中键入 TPM .msc，然后按确定，即可打开 TPM 管理控制台。
在此处可以判定是否装有 TPM 芯片及其所处状态。

①如果显示找不到兼容的 TPM ，则可能电脑无 TPM 芯片或被隐藏不显示；

②如果 TPM 未就绪或已关闭（包括开启过关闭的），旁边的操作只有初始化

TPM 是可操作的，而启用 TPM 、关闭 TPM 是灰色的。不用進行下一步。

2、如果出现“用户帐户控制”对话框，请确认所显示的是您想要执行的操作，然
后单击“是”。

3、在“操作”窗格中，单击“关闭 TPM ”以显示“关闭 TPM 安全硬件”页。

4、在“关闭 TPM 安全硬件”对话框中，选择输入所有者密码和关闭 TPM 的方

法：

①、如果有保存 TPM 所有者密码的可移动媒体，请插入该媒体，然后单击“我

有 TPM 所有者密码的备份文件”。在“选择带有 TPM 所有者密码的备份文件”
对话框中，单击“浏览”以找到可移动媒体中保存的. TPM 文件，单击“打开”，然
后单击“关闭 TPM ”。

②、如果没有保存 TPM 所有者密码的可移动媒体，请单击“我希望键入 TPM

所有者密码”。在“请键入您的 TPM 所有者密码”对话框中，输入密码（包括连
字符），然后单击“关闭 TPM ”。

③、如果不知道 TPM 所有者密码，请单击“我没有 TPM 所有者密码”，然后

按对话框和后续 BIOS 屏幕中提供的说明進行操作以关闭 TPM ，而无需输入
密码。

注意：可用“清除 TPM ”命令代替“关闭 TPM ”，作用是清除 TPM 同时会自动

关闭 TPM 。

（三）组策略禁用 TPM 1.2 或 2.0 芯片

每一个设备都有一个 Guid 或 id，论坛收集了 TPM 设备较常见的 Guid/id，采
用在组策略阻止这些常见的 Guid/id 设备安装来达到不让 TPM 设备工作的目
地。

这种方法局限性：

①有些 TPM 设备的 Guid/id 不在这个范围内，那么这种方法就不起作用；

②这种方法要求操作系统有组策略功能如 Win8.1 企业版、Win7 旗舰版等，才

能使用。无组策略功能的系统如 Win7 家庭版不能使用这个办法。

③这种方法换系统无效，必须从新進行这种设置

严格来说禁用 TPM 1.2 或 2.0 芯片还不是真正关闭 TPM 。

方法：
1、右键点击计算机（我的电脑）选管理，选“设备管理器”，右击“受信任的平台
模块 1.2/2.0”的属性，详细信息——属性（P）的下拉栏里找到受信任的平台模
块 1.2/2.0 的“类 Guid”和“匹配设备 ID”。

建议备份硬件 ID 与“总线类型 GUID”（或设备类 GUID），两个值都要备份。

抓图或者选中硬件 ID 值或“总线类型 GUID”,右键“复制”（两个都要复制），再
打开文本文档,再粘贴到文本文档中。目前收集到 TPM 1.2/2.0 芯片 ID 可能有
{d94ee5d8-d189-4994-83d2-f68d7d41b0e6}、{D48179BE-EC20-11D1-B6B8-
00C04FA372A7}、{6bdd1fc1-810f-11d0-bec7-08002be2092f},

ACPI\VEN_MSFT&DEV_0101 也不是平板电脑 TPM 芯片唯一的硬件 ID 码。

2、运行组策略：在运行框输入 gpedit.msc，回车，打开本地组策略编辑器窗
口。

依次展开计算机配置——管理模块——系统——设备安装——点“设备安装限
制”——右键点右边的“阻止安装与下列任何设备 ID 相匹配的设备”

编辑——点“已启用”——显示——在弹出的“显示内容”框框里，在空白栏里分别
输入该设备描述里的“类 Guid”的（{d94ee5d8-d189-4994-83d2-
f68d7d41b0e6}—一般是这个）和“匹配设 ID”的（ACPI\MSFT0101、
ACPI\PNP0C31、PNP0C31、ACPI\BCM0101、ACPI\BCM0102、
ACPI\SM01200、SM01200）最后在“也适用于匹配已安装的设备”的左边打上
勾。 TPM 2.0 建议还要增加{D48179BE-EC20-11D1-B6B8-
00C04FA372A7}、{6bdd1fc1-810f-11d0-bec7-08002be2092f}（两个都输入）

如华硕 T100TAF/T100TA 输入代码：

ACPI\VEN_MSFT&DEV_0101

{D48179BE-EC20-11D1-B6B8-00C04FA372A7}

{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}

3、此时在设备管理器中可看到 TPM （此处为“受信任的平台模块 1.2”）消失

了，如没有消失，则运行“gpupdate/force”再察看即可。

发现“其他设备”下“未知设备”多出一项。建议将 TPM 对应的“未知设备”项禁

用。

禁用方法：选中“未知设备”项——右键“属性”——“详细信息”中察看其“硬件
ID”，“设备类 GUID”值，注：如能察看到“设备类 GUID”值为“{D94EE5D8-
D189-4994-83D2-F68D7D41B0E6}”则说明该设备对应 TPM 模块；实测发现
察看不到“设备类 GUID”值，可根据“硬件 ID”判断，如“硬件 ID”为步骤 1 中记录
的硬件 ID 值，则说明该项设备为 TPM 模块，在属性窗口中“驱动程序”下点
“禁用”即可，或者选中该设备右键点“禁用”。
设备管理器中驱好的 TPM 模块，右键有“卸载”无禁用，实测无法卸载，点卸
载后提示重启而重启后依然存在；在该模块属性窗口中“驱动程序”下的“禁用”按
钮为灰，也无法禁用。

（四）软件自动安装器 V1.1 中关闭 TPM 的设置

采用在注册表等位置禁止安装一些常用 id 等禁止安装 TPM 设备，比方法
（三）适用范围更广一些；而且采用代替 TPM 驱动程序中某些文件来达到使
TPM 驱动程序无法正常运行，从而可以有效在操作系统阻止 TPM 设备运
行。

禁止安装一些常用 id 等禁止安装 TPM 设备对旧的 TPM 1.2 设备可以做到禁

止安装，有些新的 TPM 2.0 设备不包括，达不到禁止安装。

四、 TPM 安全芯片用途与生产厂家
TPM 安全芯片用途：

（1）存储、管理 BIOS 开机密码以及硬盘密码。以往这些事务都是由 BIOS 做

的，忘记了密码只要取下 BIOS 电池，给 BIOS 放电就清除密码了。如今这些
密钥实际上是存储在固化在芯片的存储单元中，即便是掉电其信息亦不会丢
失。相比于 BIOS 管理密码， TPM 安全芯片的安全性要大为提高。

（2） TPM 安全芯片可以進行范围较广的加密。 TPM 安全芯片除了能進行

传统的开机加密以及对硬盘進行加密外，还能对系统登录、应用软件登录進行
加密。比如目前咱们常用的 MSN、QQ、网游以及网上银行的登录信息和密
码，都可以通过 TPM 加密后再進行传输，这样就不用担心信息和密码被人窃
取。

（3）加密硬盘的任意分区。我们可以加密本本上的任意一个硬盘分区，您可以
将一些敏感的文件放入该分区以策安全。其实有些本本厂商采用的一键恢复功
能，就是该用途的集中体现之一（其将系统镜像放在一个 TPM 加密的分区
中）。

国外生产、研发、制造的 TPM 安全芯片的主要厂家有：英飞凌、意法半导体

（ST）、Atmel、华邦电子等。国内厂商目前有联想的“恒智”芯片、兆日公司、
国民公司的产品。