Resposta rápida: TPM 2.0 (Trusted Platform Module) é um chip ou firmware que guarda chaves criptográficas para BitLocker e integridade do sistema. Secure Boot impede que bootloader não assinado inicie o PC — barreira contra rootkits. Windows 11 exige ambos na maioria dos instaladores oficiais. Ative na UEFI (não Legacy/CSM) — veja BIOS vs UEFI e como acessar.
Por que a Microsoft exige TPM e Secure Boot?
Windows 11 elevou baseline de segurança: TPM 2.0 para criptografia de disco e attestation; Secure Boot para cadeia de confiança desde firmware até Windows. Reduz bootkits e facilita recursos como Windows Hello e BitLocker.
PCs de 2016+ em geral têm TPM 2.0 desligado por padrão ou como fTPM (firmware) no processador AMD/Intel — não é só módulo físico separado.
TPM: físico vs fTPM/PTT
TPM discreto é chip na placa-mãe. Intel PTT e AMD fTPM emulam no CPU — aceitos pelo Windows 11. Verifique no Windows: win + R → tpm.msc — versão 2.0 e "TPM pronto".
Desativar TPM no passado era comum para dual-boot exótico; hoje poucos usuários precisam. Dual-boot Linux geralmente funciona com Secure Boot e shim assinado (Ubuntu, Fedora).
Secure Boot explicado
UEFI só inicia bootloaders com assinatura digital reconhecida. Impede malware de pré-OS persistir. Instalar Windows 11 em disco GPT exige UEFI + Secure Boot na instalação limpa recomendada.
Modo Legacy + MBR é caminho antigo — Windows 11 pode recusar ou exigir conversão. Migração de Windows 10: use PC Health Check ou verificação in-place.
Passo a passo para ativar
- Reinicie e entre na UEFI (Del, F2, F10 — varia por fabricante; ver guia BIOS vs UEFI).
- Desative CSM/Legacy se ativo; mantenha boot UEFI.
- Ative Intel PTT ou AMD fTPM (ou TPM discreto On).
- Ative Secure Boot — às vezes exige "Reset to Factory Keys".
- Salve (F10) e boot; confirme em
tpm.msce Configurações → Windows Update → requisitos.
Tabela: sintoma e solução
| Problema | Causa comum | Solução |
|---|---|---|
| Instalador recusa Windows 11 | TPM off ou versão 1.2 | Ativar fTPM 2.0 na UEFI |
| Secure Boot unsupported | CSM Legacy boot | UEFI puro + GPT |
| BitLocker pede chave após firmware | Mudou TPM/Secure Boot | Chave recuperação Microsoft/conta |
| Linux não boota | Secure Boot estrito | Shim assinado ou desativar temporariamente |
Segurança além do checkbox
TPM sem senha forte e 2FA ainda deixa conta vulnerável. Combine com BitLocker em notebooks, atualizações automáticas e passkeys onde possível — chaves de acesso usam TPM indiretamente em muitos fluxos.
Hardware antigo: vale atualizar?
Processadores oficiais suportados listam modelos específicos — além de TPM, há exigência de CPU. PCs 7ª gen Intel sem TPM podem usar workarounds não oficiais — não recomendado para trabalho. Avalie PC novo ou permanência no Windows 10 até fim do suporte.
Virtualização e jogos
fTPM ligado não costuma afetar FPS. Alguns anti-cheats exigiam TPM ligado em títulos recentes — tendência de mercado. VT-x/AMD-V (virtualização) é opção separada na UEFI para VMs.
BitLocker e TPM: o que muda no notebook
BitLocker amarra chave de criptografia ao TPM — disco roubado sem TPM não boota fácil. Troca de placa-mãe exige chave de recuperação — salve na conta Microsoft antes de qualquer alteração na UEFI. Empresas com Intune gerenciam chave centralmente; usuário doméstico frequentemente esquece e perde dados.
Windows Hello e integração com TPM
PIN do Windows Hello e biometria usam TPM para proteger credenciais locais. Desligar TPM pode quebrar Hello até reconfigurar. Passkeys em Windows 11 também se beneficiam de hardware confiável — leia passkeys em conjunto.
Dual-boot Linux com Secure Boot
Distribuições modernas (Ubuntu, Fedora) assinam shim para boot com Secure Boot ligado — instalação padrão funciona. Distros nicho ou kernels custom podem exigir desligar Secure Boot temporariamente — avalie risco. Dual-boot com Windows: desative Fast Startup do Windows para evitar NTFS corrompido.
Erros comuns ao habilitar na UEFI
- Ativar TPM mas deixar CSM Legacy — instalador ainda reclama.
- Converter disco para GPT sem backup — use ferramenta oficial Microsoft.
- Desligar Secure Boot para "pendrive antigo" e esquecer ligado — vulnerabilidade.
- Atualizar BIOS sem nota de compatibilidade TPM — raro, mas documente versão.
PC montado usado: checklist de compra
Peça foto da tela da UEFI com TPM 2.0 enabled e Secure Boot on. PCs corporativos desativados podem ser política antiga — reativar antes de pagar. Processador fora da lista oficial do Windows 11 ainda boota com aviso em alguns casos — não conte com suporte longo da Microsoft.
Para navegar no firmware com confiança, use nosso guia BIOS vs UEFI — teclas de acesso variam por ASUS, Gigabyte, Lenovo e Dell.
Atualização do Windows 11 pós-habilitação
Após ativar TPM e Secure Boot, instale atualizações pendentes — algumas features de segurança só ativam com build recente. PC Health Check da Microsoft confirma elegibilidade antes de compra de licença separada. Em upgrade de Windows 10, backup em disco externo evita surpresa com particionamento GPT.
Resumo para quem tem pressa
Entre na UEFI, ligue fTPM/PTM, ative Secure Boot em modo UEFI, disco em GPT, salve e boot. Confirme em tpm.msc. Problema persiste: atualize BIOS e consulte BIOS vs UEFI para tecla correta do seu fabricante.
Virtualização aninhada e TPM
Desenvolvedores com WSL2, Docker e VMs precisam VT-x/AMD-V além de TPM — opções distintas na UEFI. Hyper-V no Windows 11 Pro usa virtualização; conflito raro com jogos que exigem HVCI — Core Isolation em Segurança do Windows. Desative memória de integridade só se anti-cheat exigir e você entender o trade-off.
Dual boot e hackintosh
Hackintosh e distros sem shim podem exigir Secure Boot off — aceite risco ou use máquina separada. Dual boot Windows + Linux em disco GPT com Secure Boot on é viável em Ubuntu recente — instale após Windows para bootloader correto. Backup BitLocker antes de reparticionar.
TPM e jogos: requisitos em evolução
Valorant e outros títulos já exigiram TPM 2.0 ligado em algumas regiões — tendência anti-cheat usa attestation de hardware. Gamers que desligaram fTPM no passado devem religar e testar título favorito antes de torneio. FPS não costuma mudar — mitos de "TPM reduz performance" são em geral falsos em medições controladas.
Upgrade de Windows 10 para 11 no hardware legado
Assistente de instalação pode bloquear CPU não listada — modificações de registro e ISO custom circulam na internet; uso em produção é risco de compatibilidade e suporte. Empresa deve seguir canal oficial. Windows 10 EOL empurra renovação — avalie TPM 2.0 como critério de compra de notebook usado no Mercado Livre.
BitLocker, TPM e recuperação
Ativar BitLocker amarra chave ao TPM — troca de placa-mãe ou reset agressivo de firmware exige chave de recuperação de 48 dígitos. Salve em conta Microsoft, imprima ou guarde em cofre antes de brincar na UEFI. Empresas com Intune gerenciam centralmente; usuário doméstico perde dados se não tiver backup da chave.
Checklist rápido Windows 11
Confirme em Configurações → Privacidade e segurança → Segurança do Windows → Segurança do dispositivo: Isolamento de núcleo, TPM 2.0 e Inicialização segura ativados. Se algum item estiver vermelho, volte à UEFI antes de insistir no upgrade ou instalação limpa.
Perguntas frequentes
TPM 2.0 é obrigatório?
Para instalação oficial Windows 11 em hardware novo, sim.
Desativar Secure Boot é seguro?
Reduz proteção contra bootkits — só se souber o motivo (ex.: OS não assinado).
Onde vejo se tenho TPM?
tpm.msc no Windows ou informações da UEFI.
Placa-mãe antiga sem TPM?
Módulo TPM opcional em slot — verifique manual; nem todas têm.
Secure Boot impede pendrive de instalar?
Mídia oficial Microsoft é assinada — deve bootar com Secure Boot on.
