Trusted Platform Module – Technologieübersicht

Gilt für

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

In diesem Thema für IT-Experten wird das Trusted Platform Module (TPM) beschrieben. Außerdem wird erläutert, wie es von Windows für die Zugriffssteuerung und Authentifizierung verwendet wird.

Funktionsbeschreibung

Trusted Platform Module (TPM)-Technologie wurde entwickelt, um hardwarebasierte, sicherheitsrelevante Funktionen bereitzustellen. Ein TPM-Chip ist ein sicherer Kryptografieprozessor, der für kryptografische Vorgänge konzipiert ist. Der Chip enthält mehrere physische Sicherheitsmechanismen, um ihn manipulationssicher zu machen, und Schadsoftware kann die Sicherheitsfunktionen des TPM nicht manipulieren. Einige der wichtigsten Vorteile der Verwendung der TPM-Technologie sind folgende:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.

  • Verwenden Sie die TPM-Technologie für die Plattformgeräteauthentifizierung, indem Sie den eindeutigen RSA-Schlüssel des TPM verwenden, der darin eingebrannt ist.

  • Plattformintegrität gewährleisten, indem Sicherheitsmessungen vorgenommen und gespeichert werden.

Die häufigsten TPM-Funktionen werden für Messungen der Systemintegrität sowie für die Erstellung und Verwendung von Schlüsseln verwendet. Während des Systemstarts kann der geladene Startcode (einschließlich Firmware- und Betriebssystemkomponenten) gemessen und im TPM aufgezeichnet werden. Mithilfe der Integritätsmessungen kann nachgewiesen werden, wie ein System gestartet wurde. Darüber hinaus stellen sie sicher, dass ein TPM-basierter Schlüssel erst verwendet wurde, nachdem das System mit der richtigen Software gestartet wurde.

TPM-basierte Schlüssel können auf verschiedene Weisen konfiguriert werden. Beispielsweise können Sie dafür sorgen, dass ein TPM-basierter Schlüssel nicht außerhalb des TPMs verfügbar ist. Auf diese Weise lassen sich Phishingangriffe verringern, da der Schlüssel nicht ohne das TPM kopiert und verwendet wird. TPM-basierte Schlüssel können auch so konfiguriert werden, dass zu ihrer Verwendung ein Autorisierungswert erforderlich ist. Wenn der Autorisierungswert zu häufig falsch geraten wird, aktiviert das TPM seine Logik gegen Wörterbuchangriffe und verhindert, dass weiter versucht wird, den Autorisierungswert zu erraten.

In den Spezifikationen der Trusted Computing Group (TCG) sind unterschiedliche TPM-Versionen definiert. Weitere Informationen finden Sie auf der TCG-Website.

Automatische Initialisierung des TPM mit Windows

Ab Windows 10 und Windows 11 wird das Betriebssystem automatisch initialisiert und übernimmt den Besitz des TPM. Daher empfiehlt es sich in den meisten Fällen, die Konfiguration des TPMs über die TPM-Verwaltungskonsole TPM.msc zu vermeiden. Es gibt einige Ausnahmen, die hauptsächlich mit dem Zurücksetzen oder einer Neuinstallation auf einem PC in Zusammenhang stehen. Weitere Informationen finden Sie unter Löschen aller Schlüssel aus dem TPM. Wir entwickeln die TPM-Verwaltungskonsole nicht mehr aktiv ab Windows Server 2019 und Windows 10, Version 1809.

In bestimmten Unternehmensszenarios (nur Windows 10, Version 1507 und 1511) kann die Gruppenrichtlinie zum Sichern des TPM-Benutzerautorisierungswerts in Active Directory verwendet werden. Da der TPM-Zustand über Betriebssysteminstallationen hinweg erhalten bleibt, werden diese TPM-Informationen an einem von Computerobjekten getrennten Speicherort in Active Directory gespeichert.

Praktische Anwendungsfälle

Zertifikate können auf Computern installiert oder erstellt werden, die das TPM verwenden. Nachdem ein Computer bereitgestellt wurde, wird der private RSA-Schlüssel für ein Zertifikat an das TPM gebunden und kann nicht exportiert werden. Das TPM kann auch als Ersatz für Smartcards verwendet werden, wodurch die Kosten im Zusammenhang mit der Erstellung und Auszahlung von Smartcards reduziert werden.

Die automatische Bereitstellung im TPM reduziert die Kosten der TPM-Bereitstellung in einem Unternehmen. Neue APIs für die TPM-Verwaltung können bestimmen, ob für TPM-Bereitstellungsaktionen die physische Anwesenheit eines Servicetechnikers erforderlich ist, um während des Startvorgangs Anforderungen zur Änderung des TPM-Zustands zu genehmigen.

Antischadsoftware kann die Startmessungen des Startzustands des Betriebssystems verwenden, um die Integrität eines Computers nachzuweisen, auf dem Windows 10 oder Windows 11 oder Windows Server 2016 ausgeführt wird. Zu diesen Messungen gehört der Start von Hyper-V, um zu testen, dass in Rechenzentren, die Virtualisierung verwenden, keine nicht vertrauenswürdigen Hypervisoren ausgeführt werden. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Pushupdate ausführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist.

Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, die in bestimmten Unternehmensszenarios nützlich sein können. Weitere Informationen finden Sie unter TPM-Gruppenrichtlinieneinstellungen.

Neue und geänderte Funktionalität

Weitere Informationen zu neuen und geänderten Funktionen für Trusted Platform Module in Windows finden Sie unter Neues im Trusted Platform Module?

Nachweis über Geräteintegrität

Durch den Nachweis der Geräteintegrität können Unternehmen eine Vertrauensstellung basierend auf Hardware- und Softwarekomponenten eines verwalteten Geräts herstellen. Mit dem Nachweis der Geräteintegrität können Sie einen MDM-Server für die Abfrage eines Integritätsnachweisdiensts konfigurieren, der den Zugriff eines verwalteten Geräts auf eine sichere Ressource zulässt oder verweigert.

Folgendes können Sie für das Gerät überprüfen:

  • Wird die Datenausführungsverhinderung unterstützt und ist sie aktiviert?

  • Wird die BitLocker-Laufwerkverschlüsselung unterstützt und ist sie aktiviert?

  • Wird SecureBoot unterstützt und ist es aktiviert?

Hinweis

Windows 11, Windows 10, Windows Server 2016 und Windows Server 2019 unterstützen den Integritätsnachweis für Geräte mit TPM 2.0. Unterstützung für TPM 1.2 wurde ab Windows Version 1607 (RS1) hinzugefügt. TPM 2.0 erfordert UEFI-Firmware. Ein Computer mit Legacy-BIOS und TPM 2.0 funktioniert nicht wie erwartet.

Unterstützte Versionen für den Integritätsnachweis für Geräte

TPM-Version Windows 11 Windows 10 Windows Server 2016 Windows Server 2019
TPM 1.2 >= Ver 1607 >= Ver 1607 Ja
TPM 2.0 Ja Ja Ja Ja

Verwandte Themen