TPM 2.0 wymagania w 2026 roku sprowadzają się do jednego: układ Trusted Platform Module w wersji 2.0 jest bezwzględnie obowiązkowy do instalacji i uruchomienia Windows 11 24H2, Windows 11 25H2 oraz Windows Server 2025. Microsoft nie przewiduje wyjątków dla sprzętu konsumenckiego — każdy komputer bez modułu TPM 2.0 (lub z TPM 1.2) zostanie odrzucony na etapie instalacji systemu z komunikatem „Ten komputer nie spełnia minimalnych wymagań sprzętowych”. W środowisku firmowym istnieją ścieżki obejścia dla maszyn wirtualnych i urządzeń IoT, ale wiążą się one z utratą dostępu do funkcji zabezpieczeń — Credential Guard, BitLocker bez PIN, Windows Hello for Business i szyfrowanie danych w spoczynku nie zadziałają bez aktywnego układu TPM 2.0. Poniższa lista precyzyjnie definiuje wszystkie wymagania: od specyfikacji sprzętowej, przez wymagania firmware'owe, po konfigurację systemu BIOS/UEFI i scenariusze brzegowe.
Czym jest TPM 2.0 i dlaczego stał się obowiązkowy
TPM 2.0 (Trusted Platform Module) to dedykowany mikrokontroler kryptograficzny zgodny ze standardem ISO/IEC 11889:2015, wbudowany na płycie głównej komputera lub dostępny jako osobny układ scalony. Jego podstawowa rola to bezpieczne przechowywanie kluczy szyfrujących, generowanie liczb losowych opartych na entropii sprzętowej oraz zdalne poświadczanie integralności platformy (remote attestation). TPM 2.0 zastąpił starszy standard TPM 1.2 w 2014 roku, ale dopiero premiera Windows 11 w 2021 roku uczyniła go wymaganiem masowym.
Microsoft uzasadnia obowiązek TPM 2.0 trzema czynnikami. Po pierwsze — izolacja kluczy szyfrujących od systemu operacyjnego. Układ TPM przechowuje klucze w sprzętowym magazynie niedostępnym dla złośliwego oprogramowania działającego w przestrzeni użytkownika. Po drugie — atesty sprzętowe umożliwiające zero-trust network access, gdzie każde żądanie dostępu jest weryfikowane na podstawie stanu bezpieczeństwa urządzenia, nie tylko tożsamości użytkownika. Po trzecie — spełnienie wymogów regulacyjnych takich jak RODO, HIPAA czy PCI DSS, które wymagają szyfrowania danych z kluczami przechowywanymi sprzętowo.
W praktyce TPM 2.0 jest fizycznym warunkiem uruchomienia mechanizmów bezpieczeństwa Windows: Virtualization-Based Security (VBS), Hypervisor-Enforced Code Integrity (HVCI), Credential Guard oraz Windows Defender System Guard. Bez niego żadna z tych technologii nie aktywuje się, a system działa w trybie obniżonego bezpieczeństwa — nawet jeśli instalacja zostanie przeprowadzona z obejściem.
Wymagania sprzętowe TPM 2.0 — pełna specyfikacja
Sam układ TPM 2.0 to nie wszystko. Microsoft definiuje szerszy zestaw wymagań sprzętowych, w które TPM jest wkomponowany. Oto pełna lista wymagana do instalacji Windows 11 24H2/25H2 w 2026 roku:
- Procesor: co najmniej 1 GHz z 2 lub więcej rdzeniami, kompatybilny z 64-bitową architekturą x86-64 lub ARM64, obecny na liście zatwierdzonych CPU Microsoft. Lista obejmuje Intel Core 8. generacji (Coffee Lake) i nowsze, AMD Ryzen 2000 i nowsze (z wyjątkiem serii Ryzen 1000 na architekturze Zen), Qualcomm Snapdragon 850 i nowsze.
- TPM: obowiązkowo wersja 2.0, zgodny ze specyfikacją TCG (Trusted Computing Group) revision 1.59 lub nowszą. TPM 1.2 nie jest akceptowany.
- RAM: minimum 4 GB, zalecane 8 GB przy włączonych funkcjach VBS i Credential Guard (te funkcje rezerwują dodatkowy 1 GB pamięci).
- Pamięć masowa: co najmniej 64 GB, z tym że po instalacji Windows 11 24H2 z aktualizacjami 2026 roku system zajmuje około 35 GB. Dysk musi obsługiwać partycjonowanie GPT.
- Firmware: UEFI zgodny ze specyfikacją 2.3.1 lub nowszą, z włączonym Secure Boot. Legacy BIOS (CSM) nie jest wspierany.
- Karta graficzna: zgodna z DirectX 12 z obsługą WDDM 2.0.
- Wyświetlacz: rozdzielczość HD (720p), przekątna minimum 9 cali.
- Łączność sieciowa: karta sieciowa Wi-Fi lub Ethernet — wymagana do ukończenia konfiguracji początkowej (OOBE). W systemie Windows 11 25H2 Microsoft wprowadził możliwość dokończenia OOBE z kontem lokalnym bez łączności sieciowej, ale dotyczy to wyłącznie edycji Pro.
- Kamera i mikrofon: wymagane tylko dla urządzeń certyfikowanych do Windows Hello — w pozostałych przypadkach opcjonalne.
Krytycznym punktem jest weryfikacja kompatybilności procesora. Nawet jeśli komputer posiada fizyczny układ TPM 2.0, instalator Windows 11 sprawdza CPU względem wewnętrznej listy Microsoft. Procesory Intel 7. generacji (Kaby Lake) i AMD Ryzen 1000 (Zen 1) są technicznie zdolne do obsługi TPM 2.0, ale zostały wykluczone z listy wspieranych. Oznacza to blokadę instalacji mimo spełnienia wszystkich pozostałych kryteriów.
Jak sprawdzić obecność i wersję TPM
Weryfikacja TPM 2.0 zajmuje maksymalnie 2 minuty i wymaga jedynie wbudowanych narzędzi Windows lub wejścia do BIOS/UEFI. Poniżej trzy metody sprawdzenia.
Metoda 1 — TPM Management Console (tpm.msc):
- Naciśnij Windows + R, wpisz
tpm.msci zatwierdź Enter. - W oknie konsoli odczytaj pole Wersja specyfikacji — powinno wskazywać
2.0. Jeśli pole pokazuje1.2lub okno jest puste, TPM 2.0 nie jest dostępny. - Dodatkowo sprawdź pole Producent — w 2026 roku najczęściej spotykani dostawcy to Infineon, STMicroelectronics, Nuvoton i Intel PTT/AMD fTPM (firmware'owe implementacje TPM).
Metoda 2 — Windows Security (Zabezpieczenia Windows):
- Otwórz Zabezpieczenia Windows → Zabezpieczenia urządzenia.
- Kliknij Szczegóły procesora zabezpieczeń.
- W sekcji Procesor zabezpieczeń odczytaj wersję specyfikacji. Jeśli sekcja nie istnieje, komputer nie ma aktywnego TPM.
Metoda 3 — Device Manager z poziomu PowerShell (jako Administrator):
Get-Tpm
Pole TpmPresent z wartością True i ManufacturerVersion zaczynające się od 2. potwierdza obecność TPM 2.0.
W przypadku laptopów i komputerów stacjonarnych z procesorami Intel 8. generacji i nowszymi oraz AMD Ryzen 2000 i nowszymi TPM 2.0 jest implementowany firmware'owo jako Intel Platform Trust Technology (PTT) lub AMD fTPM. W BIOS/UEFI opcja ta często nosi nazwę „Intel PTT”, „AMD CPU fTPM” lub „Security Device Support” — musi być włączona, inaczej system Windows nie wykryje układu.
TPM 2.0 w BIOS/UEFI — konfiguracja i najczęstsze pułapki
Włączenie TPM 2.0 w BIOS/UEFI to najczęstsze źródło problemów podczas próby instalacji Windows 11. Producenci płyt głównych stosują różne nazewnictwo i lokalizacje ustawień. Poniższa tabela zbiera ścieżki dostępu dla najpopularniejszych producentów w 2026 roku.
| Producent | Ścieżka w BIOS/UEFI | Nazwa opcji |
|---|---|---|
| ASUS | Advanced → Trusted Computing → Security Device Support | Enable |
| ASUS (AMD) | Advanced → AMD fTPM configuration → TPM Device Selection | Firmware TPM |
| Gigabyte | Settings → Miscellaneous → AMD CPU fTPM / Intel Platform Trust Technology | Enabled |
| MSI | Settings → Security → Trusted Computing → Security Device Support | Enable |
| ASRock | Advanced → CPU Configuration → AMD fTPM switch / Intel Platform Trust Technology | AMD CPU fTPM lub PTT |
| Dell | Security → TPM 2.0 Security → TPM On | Enabled + Activate |
| Lenovo | Security → Security Chip → Security Chip Type | TPM 2.0 |
| HP | Security → TPM Embedded Security → TPM Device | Available + Hidden |
Trzy najczęstsze pułapki przy konfiguracji TPM 2.0 w BIOS/UEFI:
Pułapka 1 — Legacy Boot / CSM. Jeśli BIOS pracuje w trybie Legacy (CSM), TPM 2.0 może być widoczny jako dostępny, ale Windows 11 nie wykorzysta go poprawnie, a instalator odrzuci komputer. Należy przełączyć tryb bootowania na UEFI Only i wyłączyć CSM. Przełączenie trybu bootowania na komputerze z już zainstalowanym systemem wymaga konwersji dysku z MBR na GPT — operacja odwracalna, ale potencjalnie destrukcyjna.
Pułapka 2 — Clear TPM / Factory Reset. Opcja „Clear TPM” w BIOS resetuje układ do stanu fabrycznego, bezpowrotnie usuwając wszystkie przechowywane klucze. Jeśli na komputerze było aktywne szyfrowanie BitLocker, wyczyszczenie TPM uniemożliwi odszyfrowanie dysku — bez klucza odzyskiwania dane są stracone. Przed czyszczeniem TPM zawsze zawieś ochronę BitLocker i wykonaj eksport klucza odzyskiwania.
Pułapka 3 — Aktualizacja BIOS/UEFI. Nieaktualny firmware może nie obsługiwać poprawnie TPM 2.0, mimo że sprzęt fizycznie go posiada. Producenci regularnie wydają aktualizacje BIOS zawierające poprawki dla modułu TPM — w 2024 i 2025 roku wielu użytkowników AMD napotkało problem zacinającego się fTPM („AMD fTPM stutter”), który został rozwiązany dopiero w aktualizacjach AGESA 1.2.0.7 i nowszych. Przed instalacją Windows 11 upewnij się, że BIOS jest zaktualizowany do najnowszej dostępnej wersji.
TPM 2.0 a Windows Server 2025 i środowiska wirtualne
Wymóg TPM 2.0 dotyczy nie tylko komputerów klienckich. Windows Server 2025 wprowadza identyczne wymaganie — instalacja na fizycznym serwerze bez TPM 2.0 kończy się blokadą. Microsoft uzasadnia to rosnącą liczbą ataków ransomware na serwery on-premises — sprzętowe przechowywanie kluczy BitLocker na kontrolerach domeny, serwerach plików i serwerach SQL znacząco podnosi odporność na ataki.
W przypadku maszyn wirtualnych sytuacja jest bardziej elastyczna. Hyper-V w Windows Server 2025 i Windows 11 Pro/Enterprise obsługuje wirtualny TPM (vTPM), który emuluje układ TPM 2.0 wewnątrz maszyny wirtualnej. VMware vSphere 8.0 i nowsze oraz Proxmox VE 8.2+ również dostarczają vTPM dla gości Windows. Wymagania dla vTPM:
- Host musi być uruchomiony w trybie UEFI z Secure Boot.
- Maszyna wirtualna musi być skonfigurowana jako Generation 2 (Hyper-V) lub z firmware UEFI (VMware/Proxmox).
- Klucz szyfrujący vTPM jest przechowywany w fizycznym TPM hosta lub — w przypadku klastrów — w zewnętrznym Key Management Service (KMS).
Azure i inne chmury publiczne domyślnie udostępniają vTPM 2.0 dla wszystkich nowych maszyn Windows. W Microsoft 365 Copilot i scenariuszach zero-trust w 2026 roku, warunkowe zasady dostępu (Conditional Access) wymagają atestacji TPM — maszyny wirtualne bez vTPM nie przejdą weryfikacji i zostaną odrzucone przy próbie dostępu do zasobów organizacji.
Obejście wymogu TPM 2.0 — metody i ryzyka
Istnieją techniczne metody instalacji Windows 11 na komputerach bez TPM 2.0, ale każda niesie konsekwencje. Microsoft ich nie wspiera, a aktualizacje zbiorcze (Cumulative Updates) mogą w przyszłości zablokować te obejścia.
Metoda 1 — klucz rejestru podczas instalacji: Podczas instalacji z nośnika USB, na ekranie błędu wymagań sprzętowych:
- Naciśnij Shift + F10, by otworzyć wiersz polecenia.
- Wpisz
regedit.exei przejdź doHKEY_LOCAL_MACHINE\SYSTEM\Setup. - Utwórz nowy klucz
LabConfig. - W kluczu
LabConfigutwórz dwie wartości DWORD (32-bit):BypassTPMCheck= 1 iBypassSecureBootCheck= 1. - Zamknij rejestr i kontynuuj instalację.
Metoda 2 — Rufus: Narzędzie Rufus (wersja 4.5+) podczas tworzenia bootowalnego nośnika USB oferuje opcję „Usuń wymagania TPM 2.0 i Secure Boot”. Po wybraniu tej opcji instalator nie weryfikuje obecności TPM.
Konsekwencje obejścia:
- Brak gwarancji aktualizacji — Microsoft zastrzega prawo do niewydawania aktualizacji zabezpieczeń na nieobsługiwanym sprzęcie. W praktyce aktualizacje zbiorcze nadal są dostarczane, ale funkcje wymagające TPM (Credential Guard, HVCI) nie działają.
- Window 11 25H2 może zablokować te obejścia — Microsoft sygnalizował, że każde większe wydanie będzie zaostrzać egzekwowanie wymagań sprzętowych.
- Brak wsparcia technicznego — Microsoft nie przyjmuje zgłoszeń dotyczących problemów na nieobsługiwanym sprzęcie.
TPM 2.0 a Windows 10 — koniec wsparcia i konieczność migracji
14 października 2025 roku zakończyło się wsparcie głównego nurtu dla Windows 10 w wersji 22H2. Oznacza to definitywny koniec aktualizacji zabezpieczeń dla użytkowników indywidualnych i firm. Program przedłużonych aktualizacji bezpieczeństwa (Extended Security Updates, ESU) jest dostępny wyłącznie dla klientów korporacyjnych z aktywnym wolumenem licencyjnym — pierwszy rok ESU (2025-2026) kosztuje 61 USD za urządzenie, drugi rok (2026-2027) to już 122 USD, a trzeci (2027-2028) osiąga 244 USD.
Dla użytkowników komputerów niespełniających wymagań TPM 2.0 opcje w 2026 roku są następujące:
| Opcja | Koszt | Konsekwencje |
|---|---|---|
| Pozostanie na Windows 10 bez ESU | 0 PLN | Brak łatek bezpieczeństwa od X 2025, rosnące ryzyko exploitów na niezałatane podatności |
| Zakup ESU dla Windows 10 | 61-244 USD/rok/urządzenie | Aktualizacje krytyczne, brak nowych funkcji, możliwe tylko z licencją Windows 10 Enterprise |
| Obejście TPM i instalacja Windows 11 | 0 PLN | Ryzyko zablokowania aktualizacji, brak Credential Guard i HVCI |
| Wymiana sprzętu na zgodny z TPM 2.0 | Od 2500 PLN netto za komputer biurowy | Pełna zgodność z Windows 11 24H2/25H2 i przyszłymi aktualizacjami |
| Migracja na Windows 365 (Cloud PC) | Od 150 PLN/użytkownika/miesiąc | Komputer w chmurze z systemem Windows 11, dostępny z dowolnego urządzenia, niezależnie od lokalnego TPM |
Dla firm z flotą 50+ komputerów niespełniających wymagań TPM 2.0, ekonomicznie uzasadniona jest stopniowa wymiana sprzętu — koszt ESU dla 50 stanowisk przez 3 lata wynosi łącznie ponad 80 000 PLN, co wystarcza na zakup 25-30 nowych komputerów biurowych z pełną zgodnością z Windows 11.
Wpływ TPM 2.0 na bezpieczeństwo firmowe — Credential Guard, BitLocker, Windows Hello
TPM 2.0 to nie checkbox przy instalacji systemu — to fundament czterech kluczowych technologii bezpieczeństwa firmowego, które bez niego nie działają:
Credential Guard — izoluje sekrety uwierzytelniania (hashe NTLM, bilety Kerberos, tokeny) w zwirtualizowanym, sprzętowo chronionym kontenerze. Nawet jeśli atakujący uzyska uprawnienia SYSTEM na komputerze, nie wydobędzie poświadczeń domenowych. Credential Guard wymaga TPM 2.0 oraz włączonej wirtualizacji sprzętowej (Intel VT-x/AMD-V).
BitLocker — pełne szyfrowanie dysku z kluczem przechowywanym w TPM 2.0. Tryb „TPM-only” automatycznie odszyfrowuje dysk tylko wtedy, gdy platforma przejdzie pomiar integralności — podmiana bootloadera, wyłączenie Secure Boot czy fizyczna manipulacja sprzętem uniemożliwi odszyfrowanie. Bez TPM BitLocker działa tylko w trybie z hasłem lub kluczem USB, co jest mniej bezpieczne i mniej wygodne dla użytkowników.
Windows Hello for Business — uwierzytelnianie bezhasłowe oparte na kluczach kryptograficznych przechowywanych w TPM. Użytkownik loguje się odciskiem palca, twarzą lub PIN-em, a klucz prywatny nigdy nie opuszcza układu TPM. Bez TPM 2.0 Windows Hello for Business nie spełnia wymogów uwierzytelniania wieloskładnikowego zgodnego z FIDO2.
Microsoft Pluton — nowa generacja procesorów zabezpieczeń (Intel Core Ultra, AMD Ryzen 7000+, Qualcomm Snapdragon X) integruje funkcje TPM bezpośrednio w CPU w ramach architektury Pluton. Pluton eliminuje ataki na magistralę SPI łączącą osobny układ TPM z CPU. W 2026 roku Microsoft promuje Pluton jako następcę tradycyjnego TPM, ale fizyczny lub firmware'owy TPM 2.0 pozostaje w pełni wspierany.
Częste pytania
Czy mogę dokupić moduł TPM 2.0 do płyty głównej?
Tak, pod warunkiem że płyta główna posiada złącze SPI TPM (najczęściej 14- lub 20-pinowe). Moduły kosztują od 45 do 120 PLN brutto w zależności od producenta. Przed zakupem sprawdź w specyfikacji płyty głównej, jakie złącze TPM obsługuje — producenci stosują różne wyprowadzenia pinów. Płyty główne z procesorami Intel 8. generacji i nowszymi oraz AMD Ryzen 2000 i nowszymi mają firmware'owy TPM (PTT/fTPM), więc fizyczny moduł nie jest potrzebny.
Czy TPM 2.0 spowalnia komputer?
Nie. Operacje kryptograficzne wykonywane przez TPM są obliczeniowo lekkie — dotyczą kluczy, nie danych. Szyfrowanie BitLocker wykorzystuje szyfrowanie sprzętowe AES-NI w procesorze, a TPM przechowuje wyłącznie klucz główny. Spowolnienia raportowane przez użytkowników AMD („fTPM stutter”) zostały rozwiązane w aktualizacjach BIOS AGESA 1.2.0.7 i nowszych.
Co się stanie, gdy TPM 2.0 ulegnie awarii?
Awaria fizycznego układu TPM uniemożliwia rozruch systemu z włączonym BitLockerem — klucz odszyfrowujący jest niedostępny. Przywrócenie dostępu wymaga klucza odzyskiwania BitLocker (48-cyfrowy kod zapisany podczas pierwszej konfiguracji szyfrowania). Po wymianie uszkodzonego modułu TPM należy ponownie zaszyfrować dysk. Firmware'owe implementacje (PTT/fTPM) są odporne na awarie fizyczne, ale mogą przestać działać po aktualizacji BIOS — w takim przypadku pomaga przywrócenie poprzedniej wersji firmware'u.
Czy komputery Apple z M1/M2/M3/M4 mają TPM 2.0?
Nie. Apple używa własnego rozwiązania — Secure Enclave, które spełnia podobną funkcję co TPM 2.0, ale nie jest zgodne ze specyfikacją TCG. Windows 11 na Apple Silicon (przez Parallels Desktop lub VMware Fusion) używa wirtualnego TPM 2.0 dostarczanego przez hypervisor — nie ma dostępu do Secure Enclave.
Czy Linux wymaga TPM 2.0?
Nie. Żadna dystrybucja Linuksa nie wymusza obecności TPM 2.0 do instalacji. Niemniej jądro Linux 6.8+ wspiera TPM 2.0 dla funkcji takich jak LUKS z automatycznym odszyfrowywaniem, Integrity Measurement Architecture (IMA) czy systemd-creds. W scenariuszach dual-boot z Windows 11 TPM 2.0 musi być aktywny w BIOS/UEFI.
Czy można wyłączyć TPM 2.0 po instalacji Windows 11?
Można, ale niezalecane. Wyłączenie TPM w BIOS po instalacji powoduje natychmiastowe wyłączenie Credential Guard, Windows Hello i szyfrowania BitLocker (dysk przestanie być automatycznie odszyfrowywany przy starcie). System będzie działał, ale bez sprzętowej ochrony kluczy — traci się główny powód, dla którego TPM 2.0 został wprowadzony jako wymóg.
Jaka jest różnica między TPM 1.2 a TPM 2.0?
TPM 1.2 obsługuje wyłącznie algorytmy SHA-1 i RSA-2048, podczas gdy TPM 2.0 wspiera SHA-256, ECC (krzywe eliptyczne), AES-128/256 i algorytmy chińskie SM2/SM3/SM4. TPM 2.0 umożliwia też sprzętową atestację stanu platformy (measured boot) i jest wymagany przez Windows 11 do funkcji bezpieczeństwa nowej generacji. Microsoft oficjalnie zakończył wsparcie TPM 1.2 dla systemów klienckich.
Czy każda płyta główna z gniazdem LGA 1151 obsługuje Windows 11?
Nie. Gniazdo LGA 1151 obsługuje procesory Intel 6. i 7. generacji (Skylake, Kaby Lake), które nie znajdują się na liście CPU wspieranych przez Windows 11 — mimo że technicznie obsługują TPM 2.0. Wyjątkiem są płyty z chipsetem serii 300 (np. Z370), które obsługują Intel 8. generacji (Coffee Lake) i spełniają wymagania Windows 11. Kluczowym czynnikiem jest procesor, nie gniazdo.
Czy mogę używać Windows 11 na komputerze bez TPM 2.0 do aplikacji biurowych i Microsoft 365?
Tak, aplikacje takie jak Microsoft 365, Teams, przeglądarka Edge czy narzędzia biurowe będą działać na Windows 11 zainstalowanym z obejściem TPM. Nie będziesz jednak mógł korzystać z zaawansowanych funkcji bezpieczeństwa, a Microsoft zastrzega możliwość zablokowania przyszłych aktualizacji funkcji. Dla firm kluczowe jest legalne licencjonowanie — KluczeSoft.pl dostarcza legalne klucze Windows 11 Pro i Enterprise z Fakturą VAT 23%, gotowe do użycia na sprzęcie zgodnym z TPM 2.0.
Sprawdź legalne klucze Windows 11 →
Sprawdź też
- Windows 11 wymagania procesor — pełna lista wymagań (2026)
- Windows 11 wymagania zalecane — pełna lista wymagań (2026)
- Windows 11 wymagania procesor Intel — pełna lista wymagań (2026)
- Windows 11 LTSC wymagania — pełna lista wymagań sprzętowych i systemowych (2026)
Potrzebujesz licencji? ESET NOD32 — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.