Panoramica della tecnologia Trusted Platform ModuleTrusted Platform Module Technology Overview

Si applica aApplies to

  • Windows10Windows 10
  • WindowsServer 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Questo argomento, destinato ai professionisti IT, descrive TPM (Trusted Platform Module) e come viene usato da Windows per il controllo di accesso e l'autenticazione.This topic for the IT professional describes the Trusted Platform Module (TPM) and how Windows uses it for access control and authentication.

Descrizione delle caratteristicheFeature description

La tecnologia Trusted Platform Module (TPM) è progettata per offrire funzioni correlate alla sicurezza basate su hardware.Trusted Platform Module (TPM) technology is designed to provide hardware-based, security-related functions. Un chip TPM è un cryptoprocessor sicuro progettato per eseguire operazioni di crittografia.A TPM chip is a secure crypto-processor that is designed to carry out cryptographic operations. Il chip include più meccanismi di sicurezza fisica in grado di proteggerlo da manomissioni; il software dannoso non sarà pertanto in grado di manomettere le funzioni di sicurezza del TPM.The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Alcuni dei principali vantaggi dell'uso di tecnologia TPM sono elencati di seguito:Some of the key advantages of using TPM technology are that you can:

  • Generare, archiviare e limitare l'uso di chiavi di crittografia.Generate, store, and limit the use of cryptographic keys.

  • Usare la tecnologia TPM per l'autenticazione dei dispositivi della piattaforma usando la chiave RSA univoca del TPM, che è integrata al suo interno.Use TPM technology for platform device authentication by using the TPM’s unique RSA key, which is burned into itself.

  • Garantire l'integrità della piattaforma mediante l'analisi e l'archiviazione delle misure di sicurezza.Help ensure platform integrity by taking and storing security measurements.

Le funzioni TPM più comuni sono usate per le misurazioni dell'integrità del sistema e per la creazione e l'uso delle chiavi.The most common TPM functions are used for system integrity measurements and for key creation and use. Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM.During the boot process of a system, the boot code that is loaded (including firmware and the operating system components) can be measured and recorded in the TPM. Le misurazioni dell'integrità possono essere usate come prova della modalità di avvio di un sistema e per garantire che venga usata una chiave basata sul TPM solo quando viene usato il software corretto per avviare il sistema.The integrity measurements can be used as evidence for how a system started and to make sure that a TPM-based key was used only when the correct software was used to boot the system.

Le chiavi basate sul TPM possono essere configurate in diversi modi.TPM-based keys can be configured in a variety of ways. Un'opzione consiste nel non rendere disponibile la chiave basata sul TPM all'esterno del TPM.One option is to make a TPM-based key unavailable outside the TPM. Questa configurazione è consigliabile per contrastare gli attacchi di phishing perché impedisce la copia della chiave e il conseguente uso senza il TPM.This is good to mitigate phishing attacks because it prevents the key from being copied and used without the TPM. L'uso delle chiavi basate sul TPM può inoltre essere configurate in modo che venga richiesto un valore di autorizzazione.TPM-based keys can also be configured to require an authorization value to use them. Se si verifica un numero eccessivo di tentativi di autorizzazione errati, il TPM attiverà la propria logica di attacco con dizionario e impedirà ulteriori tentativi di autorizzazione.If too many incorrect authorization guesses occur, the TPM will activate its dictionary attack logic and prevent further authorization value guesses.

Le specifiche delle varie versioni del TPM sono definite da Trusted Computing Group (TCG).Different versions of the TPM are defined in specifications by the Trusted Computing Group (TCG). Per ulteriori informazioni, consulta il sito Web TCG.For more information, consult the TCG Web site.

Inizializzazione automatica del TPM con Windows 10Automatic initialization of the TPM with Windows 10

A partire da Windows 10, il sistema operativo viene inizializzato automaticamente e acquisisce la proprietà del TPM.Starting with Windows 10, the operating system automatically initializes and takes ownership of the TPM. Ciò significa che nella maggior parte dei casi, è consigliabile evitare di configurare il TPM mediante la console di gestione del TPM, TPM.msc.This means that in most cases, we recommend that you avoid configuring the TPM through the TPM management console, TPM.msc. Esistono alcune eccezioni, riguardanti principalmente la reimpostazione o l'esecuzione di un'installazione pulita in un PC.There are a few exceptions, mostly related to resetting or performing a clean installation on a PC. Per ulteriori informazioni, vedi Deselezionare tutte le chiavi dal TPM.For more information, see Clear all the keys from the TPM. Non sviluppiamo più attivamente la console di gestione TPM a partire da windows server 2019 e Windows 10, versione 1809.We're no longer actively developing the TPM management console beginning with Windows Server 2019 and Windows 10, version 1809.

In alcuni scenari specifici dell'organizzazione limitati a Windows 10, versione 1507 e 1511, i Criteri di gruppo potrebbero essere utilizzati per eseguire il backup del valore di autorizzazione del proprietario del TPM in Active Directory.In certain specific enterprise scenarios limited to Windows 10, versions 1507 and 1511, Group Policy might be used to back up the TPM owner authorization value in Active Directory. Poiché lo stato del TPM viene conservato tra le installazioni dei sistemi operativi, queste informazioni sul TPM sono archiviate in un percorso in Active Directory diverso rispetto a quello degli oggetti computer.Because the TPM state persists across operating system installations, this TPM information is stored in a location in Active Directory that is separate from computer objects.

Applicazioni pratichePractical applications

I certificati possono essere installati o creati nei computer che usano il TPM.Certificates can be installed or created on computers that are using the TPM. Dopo aver eseguito il provisioning di un computer, la chiave privata RSA per un certificato viene associata al TPM e non può essere esportata.After a computer is provisioned, the RSA private key for a certificate is bound to the TPM and cannot be exported. Il TPM può essere usato anche in sostituzione di smart card e ciò consente di ridurre i costi associati alla creazione e all'acquisto di smart card.The TPM can also be used as a replacement for smart cards, which reduces the costs associated with creating and disbursing smart cards.

Il provisioning automatico nel TPM riduce il costo della distribuzione del TPM in un'organizzazione.Automated provisioning in the TPM reduces the cost of TPM deployment in an enterprise. Le nuove API per la gestione del TPM possono determinare se le azioni di provisioning del TPM richiedono la presenza fisica di un tecnico per approvare richieste di modifica dello stato del TPM durante il processo di avvio.New APIs for TPM management can determine if TPM provisioning actions require physical presence of a service technician to approve TPM state change requests during the boot process.

Il software antimalware può usare le misurazioni di avvio dello stato di avvio del sistema operativo per verificare l'integrità di un computer che esegue Windows 10 o Windows Server 2016.Antimalware software can use the boot measurements of the operating system start state to prove the integrity of a computer running Windows 10 or Windows Server 2016. Queste misurazioni includono l'avvio di Hyper-V per verificare che i datacenter che usano la virtualizzazione non stiano eseguendo hypervisor non attendibili.These measurements include the launch of Hyper-V to test that datacenters using virtualization are not running untrusted hypervisors. La funzionalità di sblocco di rete via BitLocker consente agli amministratori IT di inviare un aggiornamento senza preoccuparsi che un computer stia attendendo l'immissione del PIN.With BitLocker Network Unlock, IT administrators can push an update without concerns that a computer is waiting for PIN entry.

Il TPM dispone di diverse impostazioni di Criteri di gruppo che potrebbero essere utili in alcuni scenari aziendali.The TPM has several Group Policy settings that might be useful in certain enterprise scenarios. Per altre info, vedi Impostazioni di Criteri di gruppo per TPM.For more info, see TPM Group Policy Settings.

Funzionalità nuove e modificateNew and changed functionality

Per altre info sulle funzionalità nuove e modificate per TPM (Trusted Platform Module) in Windows 10, vedi Novità di TPM (Trusted Platform Module).For more info on new and changed functionality for Trusted Platform Module in Windows 10, see What's new in Trusted Platform Module?.

Attestazione dell'integrità dei dispositiviDevice health attestation

L'attestazione dell'integrità dei dispositivi consente alle aziende di stabilire il livello di affidabilità basato su componenti hardware e software di un dispositivo gestito.Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. Grazie all'attestazione della integrità dei dispositivi puoi configurare un server MDM per eseguire una query su un servizio di attestazione dell'integrità che consenta o neghi l'accesso a una risorsa protetta da parte di un dispositivo gestito.With device heath attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource.

Ecco alcune cose che puoi controllare nel dispositivo:Some things that you can check on the device are:

  • La funzionalità Protezione esecuzione programmi è supportata e abilitata?Is Data Execution Prevention supported and enabled?

  • La funzionalità Crittografia unità BitLocker è supportata e abilitata?Is BitLocker Drive Encryption supported and enabled?

  • La funzionalità SecureBoot è supportata e abilitata?Is SecureBoot supported and enabled?

Nota

Windows 10, Windows Server 2016 e Windows Server 2019 supportano l'attestazione di integrità del dispositivo con TPM 2,0.Windows 10, Windows Server 2016 and Windows Server 2019 support Device Health Attestation with TPM 2.0. Il supporto per TPM 1,2 è stato aggiunto a partire da Windows versione 1607 (RS1).Support for TPM 1.2 was added beginning with Windows version 1607 (RS1). TPM 2,0 richiede il firmware UEFI.TPM 2.0 requires UEFI firmware. Un computer con BIOS legacy e TPM 2,0 non funziona come previsto.A computer with legacy BIOS and TPM 2.0 won't work as expected.

Versioni supportate per l'attestazione di integrità dei dispositiviSupported versions for device health attestation

Versione TPMTPM version Windows 10Windows 10 WindowsServer 2016Windows Server 2016 Windows Server 2019Windows Server 2019
TPM 1.2TPM 1.2 >= ver 1607>= ver 1607 >= ver 1607>= ver 1607 Yes
TPM 2.0TPM 2.0 Yes Yes Yes

Argomenti correlatiRelated topics