ISO / GMP / อย.

TPM 2.0 และ Secure Boot 2026: คู่มือ Hardware Security Compliance สำหรับ SME ไทย

TPM 2.0 และ Secure Boot คือกลไก Hardware Root of Trust ที่ Windows 11 บังคับใช้ และ ISO 27001/SOC 2 ให้ความสำคัญ บทความนี้สรุปการทำงาน, การ Provision และเช็กลิสต์ Compliance สำหรับ SME ไทย 2026

AF
ADS FIT Team
·8 นาที
Share:
TPM 2.0 และ Secure Boot 2026: คู่มือ Hardware Security Compliance สำหรับ SME ไทย

# TPM 2.0 และ Secure Boot 2026: คู่มือ Hardware Security Compliance สำหรับ SME ไทย

ในยุคที่ Ransomware เข้าโจมตีจาก Bootkit, Firmware Implant และ Supply Chain Attack การพึ่งพาเฉพาะซอฟต์แวร์ Antivirus ไม่เพียงพออีกต่อไป มาตรฐานสากลอย่าง ISO/IEC 27001:2022, SOC 2 Type 2 และ NIST SP 800-147 ต่างต้องการให้องค์กรพิสูจน์ว่ามี Hardware Root of Trust ก่อนระบบปฏิบัติการจะบูต และ Microsoft ก็ยังคงบังคับใช้ TPM 2.0 + Secure Boot เป็นเงื่อนไขขั้นต่ำของ Windows 11

สำหรับ SME ไทยที่กำลังขอใบรับรอง ISO 27001 หรือเตรียมเข้าสู่ห่วงโซ่อุปทานของผู้ผลิตยุโรปและสหรัฐ ความเข้าใจ TPM 2.0 และ Secure Boot จึงไม่ใช่เรื่องเทคนิคเฉย ๆ แต่คือ "หลักฐาน Compliance" ที่ผู้ตรวจสอบจะขอดูจริง บทความนี้จะอธิบายว่า TPM 2.0 ทำงานอย่างไร, Secure Boot เกี่ยวข้องตรงไหน, การตรวจสอบสถานะบนเครื่อง Windows/Linux และเช็กลิสต์ก่อนการ Audit

TPM 2.0 คืออะไร และสำคัญอย่างไรกับธุรกิจ

Trusted Platform Module (TPM) เป็นชิปไมโครคอนโทรลเลอร์ที่กำหนดมาตรฐานโดย Trusted Computing Group (TCG) เวอร์ชัน 2.0 (ISO/IEC 11889) ทำหน้าที่เป็น Cryptographic Coprocessor แยกอิสระจาก CPU มีพื้นที่เก็บคีย์, สร้างเลขสุ่มฮาร์ดแวร์ และวัดค่า Hash ของ Firmware/Bootloader/OS Loader เก็บใน Platform Configuration Register (PCR)

หน้าที่หลัก 4 อย่างของ TPM 2.0 ที่ SME ไทยใช้ได้จริง

  • **Platform Integrity Measurement** เก็บ Hash ของส่วนประกอบในกระบวนการ Boot ใช้พิสูจน์ว่าเครื่องถูกบูตด้วย Firmware ที่เชื่อถือได้
  • **Sealing & Binding** เข้ารหัสคีย์ผูกกับสถานะ PCR ทำให้ BitLocker หรือ LUKS Unlock ได้เฉพาะเมื่อระบบบูตจาก Firmware ที่ไม่ถูกแก้ไข
  • **Key Hierarchy** เก็บ Endorsement Key (EK), Storage Root Key (SRK), Attestation Identity Key (AIK) สำหรับการพิสูจน์ตัวตนระดับฮาร์ดแวร์
  • **Remote Attestation** ส่งหลักฐาน PCR ที่เซ็นด้วย AIK ไปยังเซิร์ฟเวอร์ MDM/EDR เพื่อยืนยันว่าเครื่องสะอาดก่อนเข้าสู่เครือข่าย Zero Trust

    • Secure Boot ทำงานคู่กับ TPM อย่างไร

    Secure Boot เป็นกลไกของ UEFI Specification (ดูแลโดย UEFI Forum) ที่ตรวจสอบลายเซ็นดิจิทัลของแต่ละ Stage ใน Boot Chain ตั้งแต่ Firmware ถึง Bootloader, Kernel และ OS Driver โดยเปรียบเทียบกับ Public Key ที่อยู่ใน Database 4 ชั้น ได้แก่ PK (Platform Key), KEK (Key Exchange Key), DB (Allowed Signatures), DBX (Forbidden Signatures)

    แม้ Secure Boot จะป้องกัน Bootkit ที่ลายเซ็นไม่ถูกต้องได้ แต่หากผู้โจมตีฝัง Implant ระดับ Firmware ที่ลายเซ็น "ถูกขโมย" Secure Boot อาจไม่รู้ตัว นั่นคือเหตุที่ต้องคู่กับ TPM ที่ Measure ค่า Hash ทุกชิ้นแล้วเก็บใน PCR ทำให้ Remote Verifier ตรวจจับการเปลี่ยนแปลงได้แม้ลายเซ็นยังถูกต้อง

    ความสัมพันธ์ของสองเทคโนโลยีสรุปเป็น "Verify + Measure" Secure Boot ทำหน้าที่ Verify (ยอมให้บูตหรือไม่) ส่วน TPM ทำหน้าที่ Measure (เก็บหลักฐานสภาพระบบ) เมื่อใช้ร่วมกันจะได้ Chain of Trust ที่ตรวจสอบย้อนหลังได้

    เปรียบเทียบ TPM 2.0 รูปแบบต่าง ๆ

    | รูปแบบ | จุดเด่น | จุดด้อย | เหมาะกับ |

    |--------|--------|---------|---------|

    | Discrete TPM (dTPM) | แยกชิป ความปลอดภัยสูง รองรับ FIPS 140-2 L2 | ต้องเปลี่ยนเมนบอร์ด ราคาสูง | Workstation, Compliance สูง |

    | Firmware TPM (fTPM) | มากับซีพียู (Intel PTT, AMD fTPM) ใช้ได้ทันที | ใช้ Memory ของ CPU ความปลอดภัยขึ้นกับ Firmware | SME ทั่วไป Windows 11 |

    | Virtual TPM (vTPM) | ใช้กับ VM ใน Hyper-V/ESXi | ความปลอดภัยขึ้นกับ Hypervisor | Lab, Cloud Workload |

    | HSM | ระดับองค์กร ใช้กับ Server/PKI | ราคาสูง ต้องการ Specialist | Bank, ฝ่ายออกใบ Cert |

    สำหรับ SME ไทย fTPM 2.0 ที่มากับ CPU Intel/AMD รุ่นใหม่ตั้งแต่ปี 2018 ถือว่าเพียงพอสำหรับ Windows 11, BitLocker, ISO 27001 และ SOC 2 ได้ทันทีโดยไม่ต้องลงทุนเพิ่ม

    ขั้นตอนตรวจสอบและเปิดใช้งาน

    ก่อนเข้าสู่กระบวนการ Audit ควรทำ Inventory เครื่องลูกข่ายและเซิร์ฟเวอร์ทั้งหมด

  • ตรวจสอบสถานะ TPM บน Windows กดปุ่ม Win+R พิมพ์ `tpm.msc` ดูว่า "TPM is ready for use" และ "Specification Version: 2.0"
  • ตรวจสอบสถานะ Secure Boot เปิด System Information แล้วหาแถว "Secure Boot State" ต้องเป็น On
  • ตรวจสอบใน UEFI/BIOS รีบูตเข้า BIOS Setup เปิด PTT/fTPM, Secure Boot และ UEFI Boot Mode (ปิด CSM/Legacy)
  • Provision สำหรับ BitLocker เปิด Group Policy ที่ Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption กำหนดให้ใช้ TPM + PIN และเก็บ Recovery Key ใน Active Directory หรือ Microsoft Entra ID
  • ตรวจสอบบน Linux รัน `sudo dmesg | grep -i tpm` และ `sudo tpm2_pcrread` (ติดตั้ง tpm2-tools) เพื่อดูค่า PCR
  • ทดสอบ Remote Attestation ใช้ Microsoft Intune หรือ Azure Attestation Service ลอง Onboard เครื่องตัวอย่างและตรวจสอบ Health Attestation Report
  • เก็บ Evidence บันทึกผลลัพธ์ทั้งหมดเป็น PDF + Hash SHA-256 เพื่อใช้ในการ Audit

    • สอดคล้องกับมาตรฐานใดบ้าง

    TPM 2.0 + Secure Boot ตอบโจทย์การควบคุมหลายหมวดในมาตรฐานสากล

  • **ISO/IEC 27001:2022 Annex A 8.9** การควบคุม Configuration และ A.8.20 Network Security ให้หลักฐานว่าอุปกรณ์ที่เข้าสู่ระบบไม่ถูกแก้ไข
  • **SOC 2 Trust Service Criteria CC6.6 และ CC7.1** ข้อกำหนดเรื่อง Logical Access และ System Operations ใช้ Health Attestation เป็นหลักฐาน
  • **NIST SP 800-147 และ 800-155** มาตรฐาน BIOS Protection และ Platform Firmware Resiliency
  • **CIS Benchmarks** ระบุการเปิด Secure Boot, BitLocker with TPM และ UEFI Mode ในเครื่อง Workstation
  • **PDPA และ GDPR** ใช้ Full Disk Encryption ที่ผูกกับ TPM ป้องกันข้อมูลรั่วเมื่อโน้ตบุ๊กหาย จัดเป็น Technical Safeguard ที่ผู้กำกับยอมรับ

    • เช็กลิสต์ก่อน Audit สำหรับ SME ไทย

  • Inventory ทุก Endpoint ระบุชนิด TPM, เวอร์ชัน, สถานะ Owner Authorization
  • เปิด Secure Boot และล็อก UEFI Setup ด้วย Supervisor Password
  • เปิด BitLocker หรือ LUKS ให้ Unlock ด้วย TPM + PIN
  • เก็บ Recovery Key ที่ปลอดภัย แยกจากเครื่อง เช่น Entra ID, Vault หรือ Safe ฝ่าย IT
  • ตั้ง MDM/EDR ตรวจสอบ Health Attestation อย่างน้อยเดือนละครั้ง
  • เขียน Procedure การ Re-seal เมื่ออัปเดต BIOS/Firmware เพื่อไม่ให้ BitLocker ขอ Recovery Key
  • จัดอบรมทีม IT เรื่อง TPM Owner Clear และ TPM Lockout Recovery
  • ตรวจสอบว่า Vendor ของ Hardware ปฏิบัติตาม TCG Certified Product List

    • สรุปและขั้นตอนต่อไป

    TPM 2.0 + Secure Boot คือ Hardware Root of Trust พื้นฐานที่ทำให้องค์กรพิสูจน์ Compliance ได้โดยไม่ต้องลงทุนซอฟต์แวร์เพิ่มมากนัก ความท้าทายของ SME ไทยอยู่ที่การ Inventory เครื่องเก่าและการบริหารจัดการ Recovery Key ให้เป็นระบบ หากเริ่มต้นด้วยขั้นตอนสำรวจในบทความนี้แล้วต่อยอดด้วย MDM/EDR ที่รองรับ Health Attestation จะสามารถผ่านข้อกำหนด ISO 27001 หรือ SOC 2 ได้ภายใน 1-2 รอบไตรมาส

    ต้องการที่ปรึกษาออกแบบ Hardware Security Baseline, จัดทำเอกสาร Configuration Management และเตรียมการ Audit? ทีม ADS FIT พร้อมช่วยตั้งแต่ Gap Analysis จนถึง Pre-Audit ติดต่อทีมงานเพื่อรับ Workshop เบื้องต้นฟรี หรืออ่านบทความที่เกี่ยวข้องเรื่อง BitLocker Best Practice, ISO 27001 Annex A 2022 และ Zero Trust Endpoint บนบล็อก ADS FIT

    Tags

    #TPM 2.0#Secure Boot#Hardware Security#Windows 11#Compliance#ISO 27001

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที