Qual è lo stato del TPM nel BIOS? È consigliabile disabilitarlo? In quale scenario deve essere abilitato/disabilitato?
Lo stato del TPM traccia se il Trusted Platform Module è stato inizializzato e posseduto - associato a un singolo utente - dal sistema operativo. Impedisce l'esecuzione dei comandi di reset e inizializzazione del TPM a meno che lo stato non sia impostato in modo appropriato nel firmware del sistema. Se per esempio un sistema operativo non protegge l'amministrazione del TPM con restrizioni di privilegi, un utente potrebbe chiedere al TPM di reinizializzarsi, perdendo la proprietà del sistema operativo (solo l'utente con la chiave principale della memoria segreta). L'avvio di un altro sistema operativo potrebbe tentare di possedere o cancellare il TPM cancellando qualsiasi segreto memorizzato. L'accesso al BIOS, dall'esterno di qualsiasi sistema operativo, è necessario per gestire la protezione di base della funzione di sicurezza del TPM.
C'è un'opzione del BIOS per abilitare o disabilitare il dispositivo, come si farebbe con qualsiasi altra periferica integrata, come la scheda di rete o la porta seriale. Il TPM abilita il SecureBoot e la memorizzazione delle chiavi di crittografia del disco per il sistema operativo.
Una volta abilitato, lo stato del TPM sarà lo stato attuale del TPM installato, come configurato in precedenza da qualsiasi sistema operativo. Gli stati dovrebbero avere un nome simile a 'attivo', 'non posseduto', 'inizializzato', 'posseduto', 'cancellato'.
È possibile disabilitare il TPM, esso rimarrà di proprietà e i segreti saranno mantenuti memorizzati. Il dispositivo non sarà rilevato o utilizzabile o resettato. Per esempio se volete avviare temporaneamente un altro sistema operativo senza che questo possa alterare o possedere il TPM. La versione 2.0 del TPM potrebbe essere diversa dalla mia esperienza con la 1.2.