АйТи Фреш
Главная / Статьи / Windows и AD
Windows и AD

Windows 11 и TPM 2.0: что делать с компьютерами, которые не проходят по требованиям

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-17
Windows 11 и TPM 2.0: что делать с компьютерами, которые не проходят по требованиям

За последний год мне раз двадцать задавали один и тот же вопрос: у меня половина офиса на компьютерах пятилетней давности, Windows 10 больше не обновляется, а на Windows 11 они не ставятся — что теперь? Отвечаю сразу: паниковать не надо, но и тянуть нельзя. У меня на обслуживании сейчас порядка сорока компаний, и я вижу все возможные сценарии — от полного игнорирования проблемы до истеричной закупки полсотни новых ноутбуков за одну неделю. Расскажу, как делать правильно.

Почему это вдруг стало проблемой прямо сейчас

Windows 10 официально перестала получать обновления безопасности в октябре 2025 года. Формально она еще работает, ничего не взрывается. Но каждый месяц без патчей — это открытая дверь для шифровальщиков, а у меня на памяти три клиента, которых зашифровали именно через дыры в устаревшей ОС. Один раз это обошлось владельцу бухгалтерской фирмы в 340 тысяч рублей на восстановление и три дня простоя перед сдачей отчетности. Аргумент «работает же» тут не работает.

А дальше начинается вторая часть проблемы. Windows 11 требует модуль TPM 2.0 — Trusted Platform Module, чип, который отвечает за шифрование ключей, безопасную загрузку и защиту от буткитов. Требование не выдуманное и не маркетинговое, это реальная защита от определенного класса атак. Но беда в том, что процентов сорок офисной техники, купленной до 2019-2020 года, либо вообще не имеет этого чипа, либо имеет версию 1.2, которая не подходит.

У меня был клиент — юрфирма на 18 рабочих мест, все компьютеры куплены одной партией в 2018-м. Ни один не проходит проверку. И это типичная ситуация для малого бизнеса: технику обновляют не по графику, а когда она физически разваливается. В итоге к 2026 году у половины моих клиентов парк техники требует ревизии просто потому, что никто не следил за жизненным циклом железа.

Сначала аудит, а не паника

Прежде чем что-то делать, нужно понять масштаб бедствия. Я всегда начинаю с простого: на каждом ПК запускаю tpm.msc через Win+R. Если модуль есть, но выключен в BIOS — система покажет версию и статус. Если чипа нет физически, сразу видно ошибку «совместимый TPM не найден». Второй инструмент — штатное средство проверки совместимости от Microsoft, PC Health Check, оно же заодно проверит процессор по списку поддерживаемых моделей.

Именно тут кроется вторая засада, о которой все забывают. Мало иметь TPM 2.0 — процессор тоже должен входить в белый список Microsoft. У меня был случай: у клиента стоял вполне бодрый Core i5-7500 с включенным TPM на материнке, и все равно Windows 11 отказывалась ставиться штатным путем, потому что седьмое поколение Intel в список не попало. Формально железо живое, а по факту — не годится.

После такого аудита у меня обычно получается табличка с тремя категориями: зеленая — ставим 11-ю без вопросов, желтая — нужен апгрейд BIOS или докупить TPM-модуль (на некоторых материнках это отдельная планка за 800-1500 рублей), красная — менять железо целиком. Без этой таблицы любой разговор про бюджет превращается в гадание на кофейной гуще, а я такие разговоры не люблю.

Легальные пути: то, что я рекомендую в первую очередь

Самый скучный, но самый правильный вариант — включить TPM, если он физически есть, но спит в BIOS. На Dell, HP, Lenovo это обычно пункт Security → TPM Device → Enable, плюс рядом часто нужно включить Secure Boot. Занимает пять минут на машину, и я всегда проверяю это первым делом, прежде чем говорить клиенту «нужно новое железо». Экономит компании реальные деньги буквально на ровном месте.

Второй легальный путь — Windows 11 IoT Enterprise LTSC. Это версия для встраиваемых систем и промышленного оборудования, но лицензионно ее можно ставить и на обычные офисные ПК, если покупать через партнерский канал. Плюс в том, что LTSC требует TPM формально, но по факту чуть менее строг к списку процессоров, и вдобавок не обновляется годами без вашего ведома — для бухгалтерии, где стабильность важнее свежих плиточек в меню Пуск, это находка. Минус — цена лицензии выше обычной Pro, и покупать нужно через дистрибьютора, розницы там нет.

Третий вариант, тоже вполне честный — программа расширенной поддержки ESU (Extended Security Updates) для Windows 10. Microsoft продлила ее и для обычных пользователей, не только для корпораций. Цена для одного устройства на первый год сравнительно скромная, но растет с каждым годом продления, и это max на три года. По сути это оплаченная отсрочка, а не решение проблемы — я советую ее клиентам с бюджетными ограничениями как временную меру, пока копят на нормальную замену парка.

Рискованные обходы: когда это оправдано, а когда нет

Технически TPM-проверку можно обойти. Есть реестровый трюк с ключом LabConfig и параметрами BypassTPMCheck, BypassSecureBootCheck, BypassRAMCheck — вбиваете четыре DWORD-значения перед установкой, и инсталлятор пропускает проверки. Есть модифицированные образы через Rufus с галочкой «Extended Windows 11 Installation». Оба способа рабочие, я сам их тестировал у себя в лаборатории на десятке разных машин.

Но вот в чем подвох. Такая система формально не поддерживается Microsoft — компания прямо пишет, что не гарантирует обновления на неподдерживаемом железе, и в теории (пока на практике массово этого не было) может просто перестать выдавать патчи на конкретную сборку. Для домашнего компьютера, где стоит фотошоп и игры, это приемлемый риск. Для рабочей станции бухгалтера, у которой стоит КриптоПро и подключение к банк-клиенту, я такой риск на себя не беру и клиентам не советую.

Есть отдельная категория — виртуализация. На старом железе без TPM можно поднять Hyper-V или использовать vTPM в виртуальной машине, программный TPM тогда эмулируется гипервизором и формально проверку проходит. Это уже не обход, а легальный технический путь, но требует, чтобы сам процессор поддерживал виртуализацию (VT-x/AMD-V), и добавляет накладные расходы на производительность. Для терминального сервера, где и так все крутится через RDP, разница почти не заметна — я так делал у одного клиента с 1С на пяти старых тонких клиентах, сработало отлично.

План замены парка: что менять первым, а что может подождать

Я всегда советую делить парк на три приоритета, а не менять все разом — это и дешевле, и менее болезненно для бизнеса. Приоритет номер один — серверы и рабочие места с доступом к деньгам и персональным данным: бухгалтерия с КриптоПро и банк-клиентом, отдел кадров, рабочие места с доступом к 1С-базе напрямую, а не через терминал. Именно эти машины чаще всего становятся точкой входа при атаке, и именно их нельзя оставлять на неподдерживаемой системе даже временно.

Приоритет номер два — руководители и те, кто работает с почтой и внешними подрядчиками, то есть с наибольшей поверхностью для фишинга. У меня в практике штук пять случаев, когда именно с рабочего места руководителя, не бухгалтера, начиналась атака — просто потому, что директор кликает по ссылкам в почте чаще, чем штатный безопасник.

Приоритет три — все остальное: склад, производство, вспомогательный персонал, машины без выхода в интернет вообще. Вот тут и уместны временные меры — ESU, включение TPM в BIOS, даже реестровый обход, если машина физически изолирована от сети или сидит только в закрытом VLAN без доступа к критичным системам. Заменить такое железо можно и через год-полтора, спешить некуда.

Сколько это будет стоить и как не разориться

Новый офисный ПК с TPM 2.0 на борту, достаточный для 1С и офисных задач — это от 55 до 75 тысяч рублей за штуку в зависимости от комплектации, если брать готовые сборки, а не собирать самому. На 20 рабочих мест это полтора миллиона рублей разом, и понятно, что для малого бизнеса это неподъемная сумма единовременно.

Поэтому я почти всегда советую лизинг или рассрочку через партнеров-интеграторов — платеж размазывается на 24-36 месяцев, и с точки зрения бухгалтерии это операционные расходы, а не капитальные вложения, что для налогообложения часто выгоднее. Второй вариант, который недооценивают — б/у корпоративное железо после лизинга у крупных компаний, Dell OptiPlex или HP EliteDesk трех-четырехлетнего возраста с гарантией продавца. Они уже содержат TPM 2.0 по умолчанию, потому что выпускались как раз под требования корпоративной безопасности, и стоят в полтора-два раза дешевле нового.

Третий лайфхак — не менять весь ПК, а точечно апгрейдить: если процессор входит в список поддерживаемых, а TPM просто физически отсутствует, докупка модуля за тысячу-полторы рублей плюс обновление BIOS решает вопрос почти бесплатно. Я насчитывал экономию до 60 процентов бюджета замены именно за счет такой сортировки — не все железо одинаково безнадежно, просто его никто толком не проверял.

Что я обычно рекомендую конкретно

На практике у меня получается гибридная схема почти всегда. Критичные места — бухгалтерия, сервер 1С, места с КриптоПро — переводим на новое железо в первую очередь, без компромиссов и обходов. Средний слой — руководство и продажи — можно временно закрыть через ESU на год, пока копится бюджет. Периферию — склад, охрану, переговорки — оставляем на обходных путях или Windows 10 в изолированном сегменте сети, если это физически возможно через VLAN.

Отдельно скажу про Veeam и бэкапы — при любой миграции, легальной или рискованной, сначала снимаем полный образ системы. У меня был случай, когда клиент сам, без нас, обновил через реестровый обход бухгалтерский ПК, и после установки драйвер сетевой карты отвалился намертво — без свежего бэкапа откатывались бы неделю, а так восстановили за сорок минут.

И последнее, что я говорю всем клиентам напрямую: не делайте это в последний момент. Компания, которая начала аудит парка техники в начале года, разносит расходы на три квартала и не переплачивает за срочность. Компания, которая спохватилась в декабре, платит по повышенному тарифу и берет что есть на складе у поставщика, а не то, что реально нужно под задачи.

Частые вопросы

Можно ли просто отключить требование TPM навсегда и не думать об этом?
Технически да, через реестровый обход или модифицированный образ. Но Microsoft прямо предупреждает, что не гарантирует обновления на неподдерживаемой конфигурации. Для рабочих мест без доступа к критичным данным это допустимый риск, для бухгалтерии и серверов с 1С — нет.

Что реально будет, если остаться на Windows 10 без ESU после конца поддержки?
Система продолжит работать, но новые уязвимости в ней перестанут закрываться патчами. Это не сразу критично, но с каждым месяцем риск растет — я видел атаки именно через такие незакрытые дыры, и восстановление после шифровальщика всегда стоит дороже, чем своевременная миграция.

Стоит ли покупать Windows 11 IoT Enterprise LTSC вместо обычной Pro?
Для стабильных рабочих мест — бухгалтерия, кассы, промышленные АРМ — да, потому что LTSC не тянет обновления функционала годами и меньше ломает совместимость со специфичным софтом вроде КриптоПро. Для обычных офисных сотрудников переплата обычно не оправдана.

Как быть с 1С и КриптоПро при переходе на новое железо или новую систему?
Перед миграцией всегда проверяю совместимость версии платформы 1С и актуальность лицензии КриптоПро с новой ОС — иногда нужно доставить обновленный дистрибутив. Делаю это до переноса, а не после, и обязательно с готовым бэкапом через Veeam на случай отката.

Не знаете, сколько машин в вашем офисе реально готовы к Windows 11?
Сделаем бесплатный аудит парка техники и покажем конкретный план замены по приоритетам, без лишних трат на железо, которое можно было просто донастроить.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи