TPM-Empfehlungen

Betrifft

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Dieses Thema enthält Empfehlungen für tpm-Technologie (Trusted Platform Module) für Windows.

Eine allgemeine Featurebeschreibung von TPM finden Sie unter Trusted Platform Module – Technologieübersicht.

TPM-Entwurf und -Implementierung

Üblicherweise sind TPMs diskrete, auf die Hauptplatine eines Computers gelöstetes Chip. Diese Implementierung ermöglichen es OEM-Herstellers, das TPM unabhängig vom Rest des Systems zu bewerten und zu zertifizieren. Diskrete TPM-Implementierungen sind üblich. Sie können jedoch für integrierte Geräte problematisch sein, die klein sind oder einen geringen Energieverbrauch haben. Einige neuere TPM-Implementierungen integrieren die TPM-Funktionalität in denselben Chipsatz wie andere Plattformkomponenten, behalten aber eine logische Trennung bei wie diskrete TPM-Chips.

TPMs sind passiv: Sie empfangen Befehle und geben Antworten zurück. Um alle Vorteile von TPM nutzen zu können, muss der OEM-Hersteller die Systemhardware und die Firmware sorgfältig integrieren in TPM integrieren, damit diese geeignete Befehle senden und auf die Antworten reagieren kann. TPMs wurden ursprünglich entwickelt, um Sicherheit und Datenschutzes für die Besitzer und Benutzer von Plattformen zu verbessern, aber neuere Versionen können diese Verbesserungen bereits über die Hardware selbst bereitstellen. Bevor TPMs für erweiterte Szenarios verwendet werden können, müssen sie jedoch bereitgestellt werden. Windows stellt automatisch ein TPM bereit. Wenn der Benutzer jedoch plant, das Betriebssystem neu zu installieren, muss er möglicherweise das TPM vor der Neuinstallation löschen, damit Windows das TPM vollständig nutzen können.

Die Trusted Computing Group (TCG) ist eine gemeinnützige Organisation, die die TPM-Spezifikation veröffentlicht und verwaltet. Die TCG dient zum Entwickeln, Definieren und Fördern anbieterneutraler, globaler Branchenstandards. Diese Standards unterstützen einen hardwarebasierten Vertrauensstamm für interoperable vertrauenswürdige Computerplattformen. Die TCG veröffentlicht auch die TPM-Spezifikation als Internationaler Standard ISO/IEC 11889, wobei der öffentlich zugängliche Prozess zur Einreichung der Spezifikation zugrunde gelegt wird, die das Joint Technical Committee 1 zwischen der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) definiert.

OEM-Hersteller implementieren das TPM als Komponente in eine vertrauenswürdige Computerplattform wie einem PC, einem Tablet oder einem Telefon. Vertrauenswürdige Computerplattformen nutzen TPM, um Datenschutz- und Sicherheitsszenarios zu unterstützen, die mit Software allein nicht erreicht werden kann. Beispielsweise kann Software allein nicht zuverlässig angeben, ob während des Systemstartvorgangs Malware vorhanden ist. Die enge Integration zwischen TPM und Plattform erhöht die Transparenz des Startvorgangs und unterstützt eine Auswertung des Gerätezustands, weil die Integration eine zuverlässige Messung und Berichte zu der Software, unter der das Gerät gestartet wurde, ermöglichen. Eine Implementierung eines TPMs als Teil einer vertrauenswürdigen Computerplattform bietet einen Hardware-basierten Vertrauensanker, d. h. die Hardware verhält sich vertrauenswürdig. Wenn beispielsweise ein im TPM gespeicherter Schlüssel eine Eigenschaften hat, die nicht zulassen, dass er exportiert wird, kann der Schlüssel das TPM effektiv nicht verlassen.

Die TCG hat das TPM als kostengünstige Lösung für den Massenmarkt entwickelt, die die Anforderungen von unterschiedlichen Kundensegmente bedient. Es gibt in den verschiedenen TPM-Implementationen Unterschiede bei den Sicherheitseigenschaften und ebenfalls bei den kundenseitigen und behördlichen Anforderungen für die verschiedenen Sektoren. Im öffentlichen Beschaffungssektor haben beispielsweise einige Behörden klare Sicherheitsanforderungen für TPMs definiert, die es in anderen Sektoren möglicherweise nicht gibt.

Vergleich zwischen TPM 1.2 und 2.0

Microsoft ist seit jeher hinsichtlich Industriestandards Marktführer bezüglich der Fortentwicklung und Standardisierung auf TPM2.0, das viele wichtige anerkannte Vorteile hinsichtlich Algorithmen, Kryptografie, Hierarchie, Stammschlüsseln, Autorisierung und NV-RAM mit sich bringt.

Gründe für TPM 2.0

TPM 2.0-Produkte und -Systeme bieten wesentliche Sicherheitsvorteile gegenüber TPM 1.2. Einige Beispiele:

  • Die TPM 1.2-Spezifikation lässt nur die Verwendung des RSA- und SHA-1-Hashalgorithmus zu.

  • Aus Sicherheitsgründen rücken einige Entitäten inzwischen von SHA-1 ab. Insbesondere das NIST (National Institute of Standards and Technology) hat viele öffentliche Behörden 2014 dazu veranlasst, auf SHA-256 umzusteigen, und Technologieführer wie Microsoft und Google haben angekündigt, dass sie SHA-1-basierte Signaturen oder Zertifikate ab 2017 nicht mehr unterstützen werden.

  • TPM 2.0 ermöglicht eine höhere kryptografische Agilität durch die flexiblere Unterstützung kryptografischer Algorithmen.

    • TPM2.0 unterstützt neuere Algorithmen, wodurch die Leistung bei der Signierung und Schlüsselgenerierung verbessert werden kann. Eine vollständige Liste der unterstützten Algorithmen finden Sie unter TCG-Algorithmusregistrierung. Einige TPMs unterstützen nicht alle Algorithmen.

    • Eine Liste der Algorithmen, die von Windows für den Plattform-Kryptografiespeicheranbieter unterstützt werden, finden Sie unter CNG-Kryptografiealgorithmusanbieter.

    • TPM 2.0 wurde nach ISO standardisiert (ISO/IEC 11889:2015).

    • TPM 2.0 kann Vorteile für OEMs bringen, das diese für bestimmte Länder und Regionen keine Ausnahmen von Standardkonfigurationen mehr bereitstellen müssen.

  • TPM 2.0 bietet eine einheitliche Benutzererfahrung über verschiedene Implementierungen hinweg.

    • TPM1.2-Implementierungen weisen abweichende Richtlinieneinstellungen auf. Abweichende Sperrrichtlinien können die Unterstützung erschweren.

    • Die TPM2.0-Sperrrichtlinie wird von Windows konfiguriert. Auf diese Weise wird ein konsistenter Schutz vor Wörterbuchangriffen gewährleistet.

  • Während TPM 1.2-Teile diskrete Siliciciumkomponenten sind, die in der Regel auf der Hauptplatine gelöst werden, ist TPM 2.0 als diskrete (dTPM)-Siliciciumkomponente in einem einzigen Gehäusepaket, einer integrierten Komponente, die in einem oder mehreren Paketen integriert ist, zusammen mit anderen Logikeinheiten in denselben Paketen und als firmwarebasierte Komponente (fTPM) verfügbar, die in einer vertrauenswürdigen Ausführungsumgebung (TRUSTED Execution Environment, TEE) auf einem allgemeinen SoC ausgeführt wird.

Hinweis

TPM 2.0 wird im Legacy- und CSM-Modus des BIOS nicht unterstützt. Bei Geräten mit TPM 2.0 darf der BIOS-Modus nur als native UEFI konfiguriert sein. Die Optionen des Legacy and Compatibility Support Module (CSM) müssen deaktiviert sein. Für zusätzliche Sicherheit Aktivieren Sie die Secure Boot-Funktion.

Das auf der Hardware im Legacy-Modus installierte Betriebssystem verhindert das Booten des Betriebssystems, wenn der BIOS-Modus auf UEFI geändert wird. Verwenden Sie das Tool MBR2GPT, bevor Sie den BIOS-Modus ändern, der das Betriebssystem und die Festplatte auf die Unterstützung von UEFI vorbereitet.

Diskretes, integriertes oder Firmware-TPM?

Es gibt drei Implementierungsoptionen für TPMs:

  • Diskreter TPM-Chip als separate Komponente in einem eigenen Halbleiterpaket

  • Integrierte TPM-Lösung mit dedizierter Hardware, die zusammen mit anderen, logisch getrennten Komponenten in mindestens ein Halbleiterpaket integriert ist

  • Firmware-TPM-Lösung, bei der das TPM in der Firmware in einem Modus für die vertrauenswürdige Ausführung einer allgemeinen Berechnungseinheit ausgeführt wird

Windows verwendet jedes kompatible TPM auf die gleiche Weise. Microsoft nimmt keine Position dazu ein, wie ein TPM implementiert werden soll, und es gibt ein breites Ökosystem verfügbarer TPM-Lösungen, das für alle Anforderungen geeignet sein sollte.

Ist TPM für Verbraucher relevant?

Für Endbenutzer steht TPM im Hintergrund, ist aber weiterhin relevant. Das TPM wird für Windows Hello und Windows Hello for Business verwendet und wird in Zukunft eine Komponente zahlreicher anderer Sicherheitsfeatures in Windows darstellen. TPM sichert die PIN, hilft bei der Verschlüsselung von Kennwörtern und baut auf unserer gesamten Windows Erfahrung für Sicherheit als wichtige Säule auf. Verwenden von Windows auf einem System mit TPM kann eine tiefgreifendere und umfassendere Abdeckung der Sicherheit.

TPM 2.0 Compliance für Windows

Windows für Desktopeditionen (Home, Pro, Enterprise und Education)

  • Seit dem 28. Juli 2016 müssen alle neuen Gerätemodelle, Linien oder Reihen (oder wenn Sie die Hardwarekonfiguration eines vorhandenen Modells, einer Linie oder einer Serie mit einem größeren Update, z. B. CPU, Grafikkarten), implementieren und standardmäßig TPM 2.0 aktivieren (Details finden Sie in Abschnitt 3.7 der Seite "Mindesthardwareanforderungen"). Die Anforderung zum Aktivieren von TPM2.0 gilt nur für die Herstellung neuer Geräte. TPM-Empfehlungen für bestimmte Windows-Features finden Sie unter TPM und Windows-Features.

IoT Core

  • TPM ist optional für IoT Core erhältlich.

Windows Server 2016

  • TPM ist optional für Windows Server-SKUs, es sei denn, die SKU erfüllt die anderen Qualifikationskriterien (AQ) für das Host Guardian Services-Szenario, in dem TPM 2.0 erforderlich ist.

TPM und Windows-Features

In der folgenden Tabelle sind die Windows-Features aufgeführt, die TPM-Unterstützung erfordern.

Windows-Features TPM erforderlich Unterstützt TPM 1.2 Unterstützt TPM 2.0 Details
Kontrollierter Start Ja Ja Ja Der kontrollierte Start erfordert TPM 1.2 oder 2.0 und den sicheren UEFI-Start. TPM 2.0 wird empfohlen, da es neuere kryptografische Algorithmen unterstützt. TPM 1.2 unterstützt nur den SHA-1-Algorithmus, der veraltet ist.
BitLocker Nein Ja Ja TPM 1.2 oder 2.0 wird unterstützt, TPM 2.0 wird jedoch empfohlen. Automatische Geräteverschlüsselung erfordert modernen Standbymodus einschließlich TPM 2.0-Unterstützung
Geräteverschlüsselung Ja n. a. Ja Die Geräteverschlüsselung erfordert eine Modern Standby/Connected-Standbyzertifizierung, wozu TPM 2.0 erforderlich ist.
Windows Defender-Anwendungssteuerung (Device Guard) Nein Ja Ja
Windows Defender System Guard (DRTM) Ja Nein Ja TPM 2.0- und UEFI-Firmware ist erforderlich.
Credential Guard Nein Ja Ja Windows10, Version 1507 (Einstellung im Mai2017), unterstützte nur TPM 2.0 für Credential Guard. Ab Windows10, Version 1511, werden TPM 1.2 und 2.0 unterstützt. In Kombination mit Windows Defender System Guard bietet TPM 2.0 erhöhte Sicherheit für Credential Guard. Windows 11 erfordert standardmäßig TPM 2.0, um kundenfreundlichere Aktivierung dieser verbesserten Sicherheit zu ermöglichen.
Integritätsnachweis für Geräte Ja Ja Ja TPM 2.0 wird empfohlen, da es neuere kryptografische Algorithmen unterstützt. TPM 1.2 unterstützt nur den SHA-1-Algorithmus, der veraltet ist.
Windows Hello/Windows Hello for Business Nein Ja Ja Die Azure AD-Verknüpfung unterstützt beide TPM-Versionen, erfordert jedoch TPM mit dem Algorithmus für den Nachrichtenauthentifizierungscode mit Schlüsselhash (Hash Message Authentication Code, HMAC) sowie das Endorsement Key (EK)-Zertifikat für die Unterstützung des Schlüsselnachweises. TPM 2.0 wird gegenüber TPM 1.2 für eine bessere Leistung und Sicherheit empfohlen. Windows Hello als FIDO-Plattformauthentifikator nutzt TPM 2.0 für die Schlüsselspeicherung.
Sicherer UEFI-Start Nein Ja Ja
TPM-Plattformkryptografieanbieter/Schlüsselspeicheranbieter Ja Ja Ja
Virtuelle Smartcards Ja Ja Ja
Zertifikatspeicher Nein Ja Ja TPM ist nur erforderlich, wenn das Zertifikat im TPM gespeichert ist.
Autopilot Nein n. a. Ja Wenn Sie ein Szenario bereitstellen möchten, das TPM erfordert (z. B. white glove und self-deploying mode), sind TPM 2.0 und UEFI-Firmware erforderlich.
SecureBIO Ja Nein Ja TPM 2.0- und UEFI-Firmware ist erforderlich.

OEM-Status zu TPM 2.0-Systemverfügbarkeit und zertifizierten Komponenten

Regierungsbehörden und Unternehmenskunden in regulierten Branchen unterliegen möglicherweise Erwerbsstandards, die die Nutzung gängiger zertifizierter TPM-Komponenten voraussetzen. Die OEM-Lieferanten von Geräten können deshalb verpflichtet werden, kommerziell nutzbare Systeme nur mit zertifizierten TPM-Komponenten auszuliefern. Weitere Informationen erhalten Sie vom OEM oder Hardwarehersteller.

Verwandte Themen