Panoramica della tecnologia Trusted Platform Module

Si applica a

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

Questo argomento, destinato ai professionisti IT, descrive TPM (Trusted Platform Module) e come viene usato da Windows per il controllo di accesso e l'autenticazione.

Descrizione delle caratteristiche

La tecnologia TPM (Trusted Platform Module) è progettata per fornire funzioni correlate alla sicurezza basate su hardware. Un chip TPM è un processore di crittografia sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisici per renderlo resistente alle manomissioni. Un software dannoso non è in grado di manomettere le funzioni di sicurezza del TPM. Alcuni dei principali vantaggi dell'uso di tecnologia TPM sono elencati di seguito:

  • Generare, archiviare e limitare l'uso di chiavi di crittografia.

  • Usa la tecnologia TPM per l'autenticazione dei dispositivi della piattaforma usando la chiave RSA unica del TPM, che è integrata al suo interno.

  • Garantire l'integrità della piattaforma mediante l'analisi e l'archiviazione delle misure di sicurezza.

Le funzioni TPM più comuni sono usate per le misurazioni dell'integrità del sistema e per la creazione e l'uso delle chiavi. Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM. Le misurazioni dell'integrità possono essere usate come prova della modalità di avvio di un sistema e per garantire che venga usata una chiave basata sul TPM solo quando viene usato il software corretto per avviare il sistema.

Le chiavi basate sul TPM possono essere configurate in diversi modi. Un'opzione consiste nel non rendere disponibile la chiave basata sul TPM all'esterno del TPM. Questa configurazione è consigliabile per contrastare gli attacchi di phishing perché impedisce la copia della chiave e il conseguente uso senza il TPM. L'uso delle chiavi basate sul TPM può inoltre essere configurate in modo che venga richiesto un valore di autorizzazione. Se si verifica un numero eccessivo di tentativi di autorizzazione errati, il TPM attiverà la propria logica di attacco con dizionario e impedirà ulteriori tentativi di autorizzazione.

Le specifiche delle varie versioni del TPM sono definite da Trusted Computing Group (TCG). Per ulteriori informazioni, consulta il sito Web TCG.

Inizializzazione automatica del TPM con Windows

A partire da Windows 10 e Windows 11, il sistema operativo inizializza e assume automaticamente la proprietà del TPM. Ciò significa che nella maggior parte dei casi, è consigliabile evitare di configurare il TPM mediante la console di gestione del TPM, TPM.msc. Esistono alcune eccezioni, riguardanti principalmente la reimpostazione o l'esecuzione di un'installazione pulita in un PC. Per ulteriori informazioni, vedi Deselezionare tutte le chiavi dal TPM. Non stiamo più sviluppando attivamente la console di gestione TPM a partire da Windows Server 2019 e Windows 10, versione 1809.

In alcuni scenari specifici dell'organizzazione limitati a Windows 10, versione 1507 e 1511, i Criteri di gruppo potrebbero essere utilizzati per eseguire il backup del valore di autorizzazione del proprietario del TPM in Active Directory. Poiché lo stato del TPM viene conservato tra le installazioni dei sistemi operativi, queste informazioni sul TPM sono archiviate in un percorso in Active Directory diverso rispetto a quello degli oggetti computer.

Applicazioni pratiche

I certificati possono essere installati o creati nei computer che usano il TPM. Dopo aver eseguito il provisioning di un computer, la chiave privata RSA per un certificato viene associata al TPM e non può essere esportata. Il TPM può essere usato anche in sostituzione di smart card e ciò consente di ridurre i costi associati alla creazione e all'acquisto di smart card.

Il provisioning automatico nel TPM riduce il costo della distribuzione del TPM in un'organizzazione. Le nuove API per la gestione del TPM possono determinare se le azioni di provisioning del TPM richiedono la presenza fisica di un tecnico per approvare richieste di modifica dello stato del TPM durante il processo di avvio.

Il software antimalware può utilizzare le misurazioni di avvio dello stato di avvio del sistema operativo per dimostrare l'integrità di un computer che esegue Windows 10 o Windows 11 o Windows Server 2016. Queste misurazioni includono l'avvio di Hyper-V per verificare che i datacenter che usano la virtualizzazione non stiano eseguendo hypervisor non attendibili. La funzionalità di sblocco di rete via BitLocker consente agli amministratori IT di inviare un aggiornamento senza preoccuparsi che un computer stia attendendo l'immissione del PIN.

Il TPM dispone di diverse impostazioni di Criteri di gruppo che potrebbero essere utili in alcuni scenari aziendali. Per altre info, vedi Impostazioni di Criteri di gruppo per TPM.

Funzionalità nuove e modificate

Per altre info sulle funzionalità nuove e modificate per Trusted Platform Module in Windows, vedi Cosa c’è di nuovo in Trusted Platform Module?

Attestazione dell'integrità del dispositivo

L'attestazione dell'integrità dei dispositivi consente alle aziende di stabilire il livello di affidabilità basato su componenti hardware e software di un dispositivo gestito. Grazie all'attestazione della integrità dei dispositivi puoi configurare un server MDM per eseguire una query su un servizio di attestazione dell'integrità che consenta o neghi l'accesso a una risorsa protetta da parte di un dispositivo gestito.

Ecco alcune cose che puoi controllare nel dispositivo:

  • La funzionalità Protezione esecuzione programmi è supportata e abilitata?

  • La funzionalità Crittografia unità BitLocker è supportata e abilitata?

  • La funzionalità SecureBoot è supportata e abilitata?

Nota

Windows 11, Windows 10, Windows Server 2016 e Windows Server 2019 supportano Attestazione integrità dispositivo con TPM 2.0. Il supporto per TPM 1.2 è stato aggiunto a partire Windows versione 1607 (RS1). TPM 2.0 richiede il firmware UEFI. Un computer con BIOS legacy e TPM 2.0 non funzionerà come previsto.

Versioni supportate per l'attestazione dell'integrità dei dispositivi

Versione TPM Windows 11 Windows 10 Windows Server 2016 Windows Server 2019
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0

Argomenti correlati