Trusted Platform Module – Technologieübersicht

Betrifft

  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

In diesem Thema für IT-Experten wird das Trusted Platform Module (TPM) beschrieben. Außerdem wird erläutert, wie es von Windows für die Zugriffssteuerung und Authentifizierung verwendet wird.

Featurebeschreibung

Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der für die Ausführung kryptografischer Vorgänge ausgelegt ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Die wichtigsten Vorteile der TPM-Technologie bestehen in ihren Möglichkeiten. Sie können:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.

  • TPM-Technologie für die Plattformgeräteauthentifizierung nutzen. Sie verwenden dazu den eindeutigen RSA-Schlüssel des TPMs, der in sich selbst geschrieben ist.

  • Plattformintegrität gewährleisten, indem Sicherheitsmessungen vorgenommen und gespeichert werden.

Die häufigsten TPM-Funktionen werden für Messungen der Systemintegrität sowie für die Erstellung und Verwendung von Schlüsseln verwendet. Während des Systemstarts kann der geladene Startcode (einschließlich Firmware- und Betriebssystemkomponenten) gemessen und im TPM aufgezeichnet werden. Mithilfe der Integritätsmessungen kann nachgewiesen werden, wie ein System gestartet wurde. Darüber hinaus stellen sie sicher, dass ein TPM-basierter Schlüssel erst verwendet wurde, nachdem das System mit der richtigen Software gestartet wurde.

TPM-basierte Schlüssel können auf verschiedene Weisen konfiguriert werden. Beispielsweise können Sie dafür sorgen, dass ein TPM-basierter Schlüssel nicht außerhalb des TPMs verfügbar ist. Auf diese Weise lassen sich Phishingangriffe verringern, da der Schlüssel nicht ohne das TPM kopiert und verwendet wird. TPM-basierte Schlüssel können auch so konfiguriert werden, dass zu ihrer Verwendung ein Autorisierungswert erforderlich ist. Wenn der Autorisierungswert zu häufig falsch geraten wird, aktiviert das TPM seine Logik gegen Wörterbuchangriffe und verhindert, dass weiter versucht wird, den Autorisierungswert zu erraten.

In den Spezifikationen der Trusted Computing Group (TCG) sind unterschiedliche TPM-Versionen definiert. Weitere Informationen finden Sie auf der TCG-Website.

Automatische Initialisierung des TPMs mit Windows10

Ab Windows10 wird das Betriebssystem automatisch initialisiert und die Inhaberschaft des TPMs übernommen. Daher empfiehlt es sich in den meisten Fällen, die Konfiguration des TPMs über die TPM-Verwaltungskonsole (TPM.msc) zu vermeiden. Es gibt einige Ausnahmen, die hauptsächlich mit dem Zurücksetzen oder einer Neuinstallation auf einem PC in Zusammenhang stehen. Weitere Informationen finden Sie unter Löschen aller Schlüssel aus dem TPM. Wir entwickeln die TPM-Verwaltungskonsole nicht mehr aktiv ab Windows Server 2019 und Windows 10, Version 1809.

In bestimmten Unternehmensszenarios (nur Windows 10, Version 1507 und 1511) kann die Gruppenrichtlinie zum Sichern des TPM-Benutzerautorisierungswerts in Active Directory verwendet werden. Da der TPM-Zustand über Betriebssysteminstallationen hinweg erhalten bleibt, werden diese TPM-Informationen an einem von Computerobjekten getrennten Speicherort in Active Directory gespeichert.

Praktische Anwendungsfälle

Zertifikate können auf Computern installiert oder erstellt werden, die das TPM verwenden. Nachdem ein Computer bereitgestellt wurde, wird der private RSA-Schlüssel für ein Zertifikat an das TPM gebunden und kann nicht exportiert werden. Das TPM kann auch als Ersatz für Smartcards verwendet werden, wodurch die Kosten im Zusammenhang mit der Erstellung und Auszahlung von Smartcards reduziert werden.

Die automatische Bereitstellung im TPM reduziert die Kosten der TPM-Bereitstellung in einem Unternehmen. Neue APIs für die TPM-Verwaltung können bestimmen, ob für TPM-Bereitstellungsaktionen die physische Anwesenheit eines Servicetechnikers erforderlich ist, um während des Startvorgangs Anforderungen zur Änderung des TPM-Zustands zu genehmigen.

Antischadsoftware kann den beim Start des Betriebssystems gemessenen Zustand nutzen, um die Integrität eines Computers unter Windows 10 oder Windows Server 2016 zu bestätigen. Die Messungen umfassen den Start von Hyper-V, um sicherzustellen, dass in Rechenzentren, in denen Virtualisierung verwendet wird, keine nicht vertrauenswürdigen Hypervisoren ausgeführt werden. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Pushupdate ausführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist.

Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, die in bestimmten Unternehmensszenarios nützlich sein können. Weitere Informationen finden Sie unter TPM-Gruppenrichtlinieneinstellungen.

Neue und geänderte Funktionalität

Weitere Infos zu neuen und geänderten TPM (Trusted Platform Module)-Funktionen in Windows 10 finden Sie unter Neues im Trusted Platform Module.

Nachweis über Geräteintegrität

Durch den Nachweis der Geräteintegrität können Unternehmen eine Vertrauensstellung basierend auf Hardware- und Softwarekomponenten eines verwalteten Geräts herstellen. Mit dem Nachweis der Geräteintegrität können Sie einen MDM-Server für die Abfrage eines Integritätsnachweisdiensts konfigurieren, der den Zugriff eines verwalteten Geräts auf eine sichere Ressource zulässt oder verweigert.

Folgendes können Sie für das Gerät überprüfen:

  • Wird die Datenausführungsverhinderung unterstützt und ist sie aktiviert?

  • Wird die BitLocker-Laufwerkverschlüsselung unterstützt und ist sie aktiviert?

  • Wird SecureBoot unterstützt und ist es aktiviert?

Hinweis

Windows 10 unterstützen Windows Server 2016 und Windows Server 2019 den Integritätsnachweis für Geräte mit TPM 2.0. Unterstützung für TPM 1.2 wurde ab Windows Version 1607 (RS1) hinzugefügt. TPM 2.0 erfordert UEFI-Firmware. Ein Computer mit älteren BIOS und TPM 2.0 funktioniert nicht wie erwartet.

Unterstützte Versionen für den Integritätsnachweis für Geräte

TPM-Version Windows 10 Windows Server 2016 Windows Server 2019
TPM 1.2 >= ver 1607 >= ver 1607 Ja
TPM 2.0 Ja Ja Ja