Cách truy cập công cụ TPM Diagnostics để truy vấn dữ liệu bảo mật trên Windows 11

Khi ra mắt Windows 11, Microsoft tuyên bố rằng hệ điều hành này sẽ chỉ hỗ trợ các máy tính có chip bảo mật TPM 2.0. Theo Microsoft, TMP 2.0 là một thành phần quan trọng để cung cấp tính bảo mật với Windows Hello và BitLoker. Điều này giúp Windows 11 bảo vệ danh tính và dữ liệu của người dùng tốt hơn.

Nhằm giúp người dùng cũng như quản trị viên có thể dễ dàng kiểm soát các dữ liệu lưu trên TPM, Microsoft đã bổ sung thêm công cụ mang tên TPM Diagnostics. Đây là một công cụ bổ sung nên để sử dụng thì trước hết bạn cần cài đặt nó.

Để cài đặt và sử dụng TPM Diagnostics trên Windows 11 bạn làm theo hướng dẫn sau:

Bước 1: Nhấn Windows + I để mở Settings sau đó truy cập mục Apps ở thanh bên trái

Bước 2: Nhấp vào Optional features

Bước 3: Nhấn View features tại mục Add an optional feature

Bước 4: Nhập tpm vào ô tìm kiếm sau đó nhấp chọn ở bên cạnh công cụ TPM Diagnostics hiển thị bên dưới rồi nhấn Next > Install để xác nhận cài đặt

Bước 5: Sau khi chờ hệ thống cài đặt xong bạn có thể sử dụng TPM Diagnostics qua cửa sổ lệnh Windows Terminal (Admin) (tên mới của Command Prompt)

Bước 6: Bạn nhấn Windows + X để mở menu Power User sau đó chọn Windows Terminal (Admin)

Tại đây, bạn có thể nhập các lệnh điều khiển TPM Diagnostics. Ví dụ, lệnh TpmDiagnostics.exe GetCapabilities sẽ liệt kê các khả năng và cài đặt của chip TPM trên máy của bạn như hình bên dưới:

Ngoài việc truy vấn các khóa bảo mật đã được lưu trữ và các thông tin khác, bạn còn có thể dùng TPM Diagnostics để mã hóa/giải mã các tệp Base64, Hexadecimal và Binary.

Với TPM Diagnostics, bạn có thể tìm hiểu rất nhiều thông tin về cơ chế bảo mật cơ bản của Windows 11. Dẫu vậy, chúng tôi khuyên bạn không nên "vọc vạch" quá nhiều trên công cụ TPM Diagnostics này nếu như không hiểu biết rõ về nó. Nếu cấu hình sai bạn có thể làm mất các khóa cần thiết cho những hoạt động trên máy của mình.

Dưới đây là danh sách tất cả các lệnh có sẵn trong công cụ TPM Diagnostics:

Flags:
	PrintHelp ( /h -h )
	PromptOnExit ( -x /x )
	UseECC ( -ecc /ecc )
	UseAes256 ( -aes256 /aes256 )
	QuietPrint ( -q /q )
	PrintVerbosely ( -v /v )

Use the 'help' command to get more information about a command.
Commands:

TpmInfo:
	GetLockoutInfo
	IsOwned
	PlatformType
	CheckFIPS
	ReadClock
	GetDeviceInformation
	IfxRsaKeygenVulnerability
	GatherLogs [full directory path]
	PssPadding
	IsReadyInformation

TpmTask:
	MaintenanceTaskStatus
	ShowTaskStatus
	IsEULAAccepted
	ProvisionTpm [force clear] [allow PPI prompt]

TpmProvisioning:
	PrepareTPM
	CanUseLockoutPolicyClear
	CanClearByPolicy

AutoProvisioning:
	IsAutoProvisioningEnabled
	EnableAutoProvisioning
	DisableAutoProvisioning [-o]

EK:
	EkInfo
	ekchain
	EkCertStoreRegistry
	GetEkCertFromWeb [-ecc] [cert file]
	GetEkCertFromNVR [-ecc] [cert file]
	GetEkCertFromReg [-ecc] [ output file ]
	GetEk [-ecc] [key file]
	CheckEkCertState
	InstallEkCertFromWeb
	InstallEkCertFromNVR
	InstallEkCertThroughCoreProv
	EKCertificateURL

WindowsAIK:
	InstallWindowsAIK [-skipCert]
	WinAikPersistedInTpm
	UninstallWindowsAIKCert
	GetWindowsAIKCert [cert file]
	IsWindowsAIKInstalledInNCrypt
	EnrollWindowsAIKCert
	GetWindowsAIKPlatformClaim ["fresh"] [output file]

OtherKeys:
	PrintPublicInfo [ srk / aik / ek / handle ] [-asBcryptBlob / -RsaKeyBitsOnly / -RsaSymKeyBitsOnly] [-ecc]
	TestParms [ SYMCIPHER | RSA ] [ algorithm specific arguments ]
	EnumerateKeys

NVStorage:
	EnumNVIndexes
	DefineIndex [index] [size] [attribute flags]
	UndefineIndex [index]
	ReadNVIndexPublic [index]
	WriteNVIndex [index] [data in hex format | -file filename]
	ReadNVIndex [index]
	NVSummary

NVBootCounter:
	CheckBootCounter
	ReadBootCounter [/f]

PCRs:
	PrintPcrs

PhysicalPresence:
	GetPPTransition
	GetPPVersionInfo
	GetPPResponse
	GetPPRequest

TPMCommandsAndResponses:
	CommandCode [hex command code]
	ResponseCode [hex response code]

Tracing:
	EnableDriverTracing
	DisableDriverTracing
	FormatTrace [etl file] [output json file]

DRTM:
	DescribeMle [MLE Binary File]

Misc:
	Help [command name]
	DecodeBase64File [file to decode from base 64]
	EncodeToBase64File [file to encode]
	ReadFileAsHex [file to read]
	ConvertBinToHex [file to read] [file to write to]
	ConvertHexToBin [file to read] [file to write to]
	Hash [hex bytes or raw value to hash]
	GetCapabilities