Обзор технологии доверенного платформенного модуляTrusted Platform Module Technology Overview

Относится к:Applies to

  • Windows 10Windows 10
  • WindowsServer2016Windows Server 2016
  • WindowsServer2019Windows Server 2019

В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности.This topic for the IT professional describes the Trusted Platform Module (TPM) and how Windows uses it for access control and authentication.

Описание компонентаFeature description

Технология доверенных платформенных модулей (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью.Trusted Platform Module (TPM) technology is designed to provide hardware-based, security-related functions. Микросхема TPM — это надежный криптографический процессор, спроектированный для выполнения операций шифрования.A TPM chip is a secure crypto-processor that is designed to carry out cryptographic operations. Микросхема содержит несколько механизмов физической защиты, чтобы предотвратить взлом, и вредоносные программы не могут обойти функции безопасности TPM.The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Некоторые из основных преимуществ использования технологии TPM:Some of the key advantages of using TPM technology are that you can:

  • создание, сохранение и ограничение использования криптографических ключей;Generate, store, and limit the use of cryptographic keys.

  • технологию TPM можно использовать для проверки подлинности устройства с помощью уникального RSA-ключа TPM, записанного в модуль;Use TPM technology for platform device authentication by using the TPM’s unique RSA key, which is burned into itself.

  • обеспечение целостности платформы за счет хранения измерений безопасности.Help ensure platform integrity by taking and storing security measurements.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей.The most common TPM functions are used for system integrity measurements and for key creation and use. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM.During the boot process of a system, the boot code that is loaded (including firmware and the operating system components) can be measured and recorded in the TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.The integrity measurements can be used as evidence for how a system started and to make sure that a TPM-based key was used only when the correct software was used to boot the system.

Ключи на основе TPM можно настраивать различными способами.TPM-based keys can be configured in a variety of ways. Например, можно сделать ключ на основе TPM недоступным за пределами модуля.One option is to make a TPM-based key unavailable outside the TPM. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM.This is good to mitigate phishing attacks because it prevents the key from being copied and used without the TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации.TPM-based keys can also be configured to require an authorization value to use them. Если число неудачных попыток авторизации слишком велико, TPM активирует свою логику защиты от атак перебором по словарю и предотвращает дальнейшие попытки подбора.If too many incorrect authorization guesses occur, the TPM will activate its dictionary attack logic and prevent further authorization value guesses.

Разные версии TPM определены в спецификации организации TCG.Different versions of the TPM are defined in specifications by the Trusted Computing Group (TCG). Дополнительные сведения см. на веб-сайте TCG.For more information, consult the TCG Web site.

Автоматическая инициализация TPM в Windows 10Automatic initialization of the TPM with Windows 10

Начиная с Windows 10 операционная система автоматически инициализирует TPM и берет его под контроль.Starting with Windows 10, the operating system automatically initializes and takes ownership of the TPM. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc.This means that in most cases, we recommend that you avoid configuring the TPM through the TPM management console, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере.There are a few exceptions, mostly related to resetting or performing a clean installation on a PC. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.For more information, see Clear all the keys from the TPM. Мы больше не будем активно разрабатывать консоль управления TPM , начиная с Windows Server 2019 и Windows 10 версии 1809.We're no longer actively developing the TPM management console beginning with Windows Server 2019 and Windows 10, version 1809.

В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory.In certain specific enterprise scenarios limited to Windows 10, versions 1507 and 1511, Group Policy might be used to back up the TPM owner authorization value in Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.Because the TPM state persists across operating system installations, this TPM information is stored in a location in Active Directory that is separate from computer objects.

Практическое применениеPractical applications

На компьютерах с TPM можно устанавливать и создавать сертификаты.Certificates can be installed or created on computers that are using the TPM. После настройки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован.After a computer is provisioned, the RSA private key for a certificate is bound to the TPM and cannot be exported. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.The TPM can also be used as a replacement for smart cards, which reduces the costs associated with creating and disbursing smart cards.

Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии.Automated provisioning in the TPM reduces the cost of TPM deployment in an enterprise. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.New APIs for TPM management can determine if TPM provisioning actions require physical presence of a service technician to approve TPM state change requests during the boot process.

Антивредоносное программное обеспечение может использовать измеренные показатели состояния запуска операционной системы для подтверждения целостности компьютера с Windows 10 или Windows Server 2016.Antimalware software can use the boot measurements of the operating system start state to prove the integrity of a computer running Windows 10 or Windows Server 2016. При этом запускается Hyper-V, чтобы убедиться, что центры обработки данных, использующие виртуализацию, не запускают недоверенные низкоуровневые оболочки.These measurements include the launch of Hyper-V to test that datacenters using virtualization are not running untrusted hypervisors. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.With BitLocker Network Unlock, IT administrators can push an update without concerns that a computer is waiting for PIN entry.

В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях.The TPM has several Group Policy settings that might be useful in certain enterprise scenarios. Дополнительные сведения см. в разделе Параметры групповой политики TPM.For more info, see TPM Group Policy Settings.

Новые и измененные функцииNew and changed functionality

Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows 10 см. в разделе Что нового в доверенном платформенном модуле?For more info on new and changed functionality for Trusted Platform Module in Windows 10, see What's new in Trusted Platform Module?.

Аттестация работоспособности устройстваDevice health attestation

Подтверждение работоспособности устройства позволяет предприятиям устанавливать доверие на основе аппаратных и программных компонентов управляемого устройства.Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства.With device heath attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource.

На устройстве можно проверить следующее.Some things that you can check on the device are:

  • Предотвращение выполнения данных поддерживается и включено?Is Data Execution Prevention supported and enabled?

  • Шифрование диска BitLocker поддерживается и включено?Is BitLocker Drive Encryption supported and enabled?

  • Безопасная загрузка поддерживается и включена?Is SecureBoot supported and enabled?

Примечание

Windows 10, Windows Server 2016 и Windows Server 2019 поддерживают аттестацию работоспособности устройств с доверенным платформенным модулем (TPM 2,0).Windows 10, Windows Server 2016 and Windows Server 2019 support Device Health Attestation with TPM 2.0. Поддержка доверенного платформенного модуля 1,2 была добавлена начиная с Windows версии 1607 (RS1).Support for TPM 1.2 was added beginning with Windows version 1607 (RS1). Для доверенного платформенного модуля 2,0 требуется встроенное по UEFI.TPM 2.0 requires UEFI firmware. Компьютер с устаревшими версиями BIOS и TPM 2,0 не работает должным образом.A computer with legacy BIOS and TPM 2.0 won't work as expected.

Поддерживаемые версии для аттестации работоспособности устройствSupported versions for device health attestation

Версия TPMTPM version Windows10Windows 10 WindowsServer2016Windows Server 2016 WindowsServer2019Windows Server 2019
TPM 1.2TPM 1.2 >= ver 1607>= ver 1607 >= ver 1607>= ver 1607 ДаYes
TPM 2.0TPM 2.0 ДаYes ДаYes ДаYes

Статьи по темеRelated topics