Nell’articolo Quali sono le implicazioni nel caso di installazione di Windows 11 su computer senza i requisiti necessari – DevAdmin Blog ho analizzato oltre alla possibilità tecnica di bypassare i controlli sui requisiti hardware minimi in fase d’installazione di Windows 11 anche le implicazioni al livello di mancato supporto e violazione dei termini di licenza.
In questo post invece analizzeremo le conseguenze a livello tecnico nel caso in cui Windows 11 sia in esecuzione su un computer privo del supporto al TMP 2.0 che è uno dei requisiti hardware minimi.
Come indicato in Trusted Platform Module Technology Overview | Microsoft Learn la tecnologia TPM (Trusted Platform Module) è progettata per fornire funzioni relative alla sicurezza basate su hardware, nello specifico un chip TPM è un secure crypto-processor progettato per eseguire operazioni di crittografia.
Per approfondire come Windows utilizza il TPM si veda How Windows uses the TPM | Microsoft Learn, mentre per informazioni dettagliate su quali funzionalità che traggono beneficio quando utilizzate su un sistema con il TPM e su quali funzionalità necessitano di un sistema con il TPM e quale versione di TPM si veda TPM recommendations | Microsoft Learn in cui è riportata la seguente indicazione per quanto riguarda il TPM 2.0:
TPM 2.0 Compliance for Windows
Windows for desktop editions (Home, Pro, Enterprise, and Education)
Since July 28, 2016, all new device models, lines, or series (or if you’re updating the hardware configuration of an existing model, line, or series with a major update, such as CPU, graphic cards) must implement and enable by default TPM 2.0 (details in section 3.7 of the Minimum hardware requirements page). The requirement to enable TPM 2.0 only applies to the manufacturing of new devices. For TPM recommendations for specific Windows features, see TPM and Windows Features.
Di seguito le funzionalità di Windows 11 che traggono beneficio quando utilizzate su un sistema con il TPM:
| Funzionalità | Edizioni | Supporto TPM 1.2 |
Supporto TPM 2.0 |
Note |
| BitLocker | Tutte esclusa Home | Sì | Sì | TPM 1.2 or 2.0 are supported but TPM 2.0 is recommended. Device Encryption requires Modern Standby including TPM 2.0 support |
| App Control for Business | Tutte esclusa Home | Sì | Sì | |
| Credential Guard | Education Enterprise |
Sì | Sì | Windows 10, version 1507 (End of Life as of May 2017) only supported TPM 2.0 for Credential Guard. Beginning with Windows 10, version 1511, TPM 1.2 and 2.0 are supported. Paired with System Guard, TPM 2.0 provides enhanced security for Credential Guard. Windows 11 requires TPM 2.0 by default to facilitate easier enablement of this enhanced security for customers. |
| Windows Hello | Tutte | Sì | Sì | Microsoft Entra join supports both versions of TPM, but requires TPM with keyed-hash message authentication code (HMAC) and Endorsement Key (EK) certificate for key attestation support. TPM 2.0 is recommended over TPM 1.2 for better performance and security. Windows Hello as a FIDO platform authenticator takes advantage of TPM 2.0 for key storage. |
| Windows Hello for Business | Tutte esclusa Home | Sì | Sì | Microsoft Entra join supports both versions of TPM, but requires TPM with keyed-hash message authentication code (HMAC) and Endorsement Key (EK) certificate for key attestation support. TPM 2.0 is recommended over TPM 1.2 for better performance and security. Windows Hello as a FIDO platform authenticator takes advantage of TPM 2.0 for key storage. |
| UEFI Secure Boot | Tutte | Sì | Sì | |
| Certificate storage | Tutte | Sì | Sì | TPM is only required when the certificate is stored in the TPM. |
| Autopilot | Tutte esclusa Home | N/A | Sì | If you intend to deploy a scenario, which requires TPM (such as white glove and self-deploying mode), then TPM 2.0 and UEFI firmware are required. |
Di seguito, invece, le funzionalità di Windows 11 che non possono funzionare quando utilizzate su un sistema senza il TPM:
| Funzionalità | Edizioni | Supporto TPM 1.2 |
Supporto TPM 2.0 |
Note |
| Measured Boot | Tutte esclusa Home | Sì | Sì | Measured Boot requires TPM 1.2 or 2.0 and UEFI Secure Boot. TPM 2.0 is recommended since it supports newer cryptographic algorithms. TPM 1.2 only supports the SHA-1 algorithm, which is being deprecated. |
| Device Encryption | Tutte esclusa Home | Sì | Sì | Device Encryption requires Modern Standby/Connected Standby certification, which requires TPM 2.0. |
| System Guard (DRTM) | Tutte esclusa Home | No | Sì | TPM 2.0 and UEFI firmware is required. |
| Device Health Attestation | Tutte esclusa Home | Sì | Sì | TPM 2.0 is recommended since it supports newer cryptographic algorithms. TPM 1.2 only supports the SHA-1 algorithm, which is being deprecated. |
| TPM Platform Crypto Provider Key Storage Provider | Tutte | Sì | Sì | |
| Virtual Smart Card | Tutte | Sì | Sì | |
| SecureBIO | Tutte | No | Sì | TPM 2.0 and UEFI firmware is required. |
Quindi in linea generale installare Windows 11 su hardware senza TPM implica un declassamento strutturale della postura di sicurezza del parco macchine, ma volendo scandere nel dettaglio ci sono una serie di aspetti di cui occorre tenere presente, in particolare in scenari aziendali.
1. Rottura della “Chain of Trust”
Il TPM non è un semplice “archivio”, ma la radice di fiducia hardware (Root of Trust). Senza di esso, l’intero processo di avvio è vulnerabile.
Senza Measured Boot e System Guard, il sistema non può garantire che il kernel o i driver caricati all’avvio non siano stati manomessi da rootkit.
La conseguenza pratica è che in caso di compromissione del firmware, Windows non ha strumenti hardware per accorgersene.
2. Limitazioni delle Funzionalità
Di seguito una sintesi dell’impatto dell’assenza del TPM sulle funzionalità e delle conseguenze operative.
| Funzionalità | Impatto senza TPM | Conseguenze IT |
| BitLocker | Richiede una password/chiave USB ad ogni avvio (niente sblocco automatico) | Peggiormeto della User Experience e aumento delle richieste di supporto |
| Windows Hello | I dati biometrici sono protetti solo via software, non isolati nell’hardware | Riduzione della resistenza ad attacchi fisici sul dispositivo |
| Credential Guard | Non è possibile isolare i secret (es. ticket Kerberos) in un’area hardware protetta | |
| Autopilot |
3. Operatività e Management
Microsoft in Windows 11 on devices that don’t meet minimum system requirements – Microsoft Support dichiara che:
Installing Windows 11 on a device that doesn’t meet Windows 11 minimum system requirements isn’t recommended. If Windows 11 is installed on ineligible hardware, your device won’t receive support from Microsoft, and you should be comfortable assuming the risk of running into compatibility issues.
Devices that don’t meet these system requirements might malfunction due to compatibility or other issues. Additionally, these devices aren’t guaranteed to receive updates, including but not limited to security updates.
Ciò significa che il reparto IT potrebbe trovarsi nella sutuazione di dover gestire problemi di compatibilità o altri malfunzionamenti, ma soprattuto la possibilità che i cmputer non ricevano più aggiornamenti in particolare di sicurezza. Questa seconda eventualità è particolarmete impattante soprattutto nel caso ci siano vulerabiltà importanti o addirittura Zero-Day di sistema per cui circolano vettori d’infezione in grado di sfruttarle.
Ovviamente poi utilizzare un OS su hardware non supportato dal produttore invalida i requisiti di conformità e sicurezza dei dati (GDPR, ISO 27001, Misure minime di sicurezza ICT per le pubbliche amministrazioni)
Conclusioni
L’installazione di Windows 11 su hardware senza TMP comporta il rischio di un debito tecnico imprevedibile.
- Aumento della Superficie di Attacco: Un PC Windows 11 senza TPM è, a livello di sicurezza architetturale, un PC Windows 10 “truccato”. Si rinuncia a tutte le innovazioni di sicurezza basate sulla virtualizzazione (VBS) che rendono Windows 11 effettivamente più sicuro dei predecessori.
- Costo Totale di Gestione (TCO): Il tempo speso dai sistemisti per bypassare i controlli e gestire BitLocker senza TPM può superare rapidamente il costo del rinnovo hardware.
- Responsabilità Legale e Tecnica: In caso di data breach, l’aver forzato l’installazione su hardware non supportato pone l’amministratore di sistema in una posizione di debolezza, avendo rimosso attivamente i controlli di sicurezza raccomandati dal vendor.
In sintesi per un uso domestico o di test, il bypass è accettabile. In uno scenario Enterprise, è una scelta tecnicamente ed economicamente miope che degrada la sicurezza del parco computer, o di una parte di essi, a livelli pre-2015.
Per approfondimenti sulle feature di sicurezza in Windows 11 si veda Windows 11 security book – Windows security book introduction | Microsoft Learn.