今天，微软在博客上介绍了 Windows 11 24H2 系统里的 TPM 可靠性检测工具，这款工具的核心作用是检查 TPM 记录的启动日志是否符合安全预期，确保系统启动的可信度，并帮助用户主动发现可能影响 TPM 可靠性的问题。官方的描述是：该工具可模拟测量启动（Measured Boot）日志的验证来主动发现安全性和可靠性问题。

TPM 可靠性检测工具的使用对象是企业 IT 团队，以下是这款工具的一些典型适用场景：

Windows 安全诊断 & BitLocker

BitLocker 依赖 TPM 维护 启动完整性，并通过 PCR 记录唯一启动测量值 来验证系统安全性。证明准备验证工具 可快速诊断导致 BitLocker 启用失败的 TPM 相关问题，如 TPM 2.0 状态、启动日志有效性及 PCR 值匹配等。

Microsoft Entra 条件访问

Microsoft Entra 条件访问（Conditional Access）可基于设备健康状态控制企业资源访问权限。部分固件可能导致错误的安全评估，影响设备合规性。证明准备验证工具 可用于本地模拟 TPM 设备健康证明，确保合规策略准确执行，提升 IT 运营效率。

Azure 主机证明（Host Attestation）

Azure 主机证明服务依赖 TPM 确保云端主机的安全性。证明准备验证工具 已集成至 Azure 质量保障流程，用于检测 BIOS 兼容性问题，确保新硬件稳定性。

TPM 可靠性检测工具的能检测的指标如下：

• TPM 是否存在并可响应命令
• TPM 版本是否为 2.0
• 是否存在有效启动日志
• 平台配置寄存器（PCR）是否匹配
• 必要的安全证书（如背书密钥证书）是否可用

TPM 可靠性检测工具使用步骤

以下是使用 TPM 可靠性检测工具的具体步骤：

• 打开“事件查看器”（Event Viewer），导航到 Windows 日志 > 系统
• 在 操作（Actions） 面板中，选择“筛选当前日志”（Filter Current Log）

• 在弹窗中，将 事件来源（Event sources） 设置为 TPM-WMI 事件，点击 确定

• 查找 事件 ID 1041，查看 TPM 启动健康状态

TPM 可靠性检测工具提供的 TPM 健康状态分类包括：

• 可证明（Attestable）：所有检测通过，设备状态正常
• 可能可证明（Possibly Attestable）：PCR 记录异常，可能是固件更新导致，建议重启设备或联系供应商
• 不可证明（Not Attestable）：关键检测失败，设备安全状态不健康

via Microsoft