Обзор технологии доверенного платформенного модуля

Относится к:

  • Windows 10
  • WindowsServer2016
  • WindowsServer2019

В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности.

Описание компонента

Технология доверенных платформенных модулей (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это надежный криптографический процессор, спроектированный для выполнения операций шифрования. Микросхема содержит несколько механизмов физической защиты, чтобы предотвратить взлом, и вредоносные программы не могут обойти функции безопасности TPM. Некоторые из основных преимуществ использования технологии TPM:

  • создание, сохранение и ограничение использования криптографических ключей;

  • технологию TPM можно использовать для проверки подлинности устройства с помощью уникального RSA-ключа TPM, записанного в модуль;

  • обеспечение целостности платформы за счет хранения измерений безопасности.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.

Ключи на основе TPM можно настраивать различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если число неудачных попыток авторизации слишком велико, TPM активирует свою логику защиты от атак перебором по словарю и предотвращает дальнейшие попытки подбора.

Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.

Автоматическая инициализация TPM в Windows 10

Начиная с Windows 10 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM. Мы больше не будем активно разрабатывать консоль управления TPM , начиная с Windows Server 2019 и Windows 10 версии 1809.

В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.

Практическое применение

На компьютерах с TPM можно устанавливать и создавать сертификаты. После настройки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.

Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.

Антивредоносное программное обеспечение может использовать измеренные показатели состояния запуска операционной системы для подтверждения целостности компьютера с Windows 10 или Windows Server 2016. При этом запускается Hyper-V, чтобы убедиться, что центры обработки данных, использующие виртуализацию, не запускают недоверенные низкоуровневые оболочки. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.

В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.

Новые и измененные функции

Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows 10 см. в разделе Что нового в доверенном платформенном модуле?

Аттестация работоспособности устройства

Подтверждение работоспособности устройства позволяет предприятиям устанавливать доверие на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства.

На устройстве можно проверить следующее.

  • Предотвращение выполнения данных поддерживается и включено?

  • Шифрование диска BitLocker поддерживается и включено?

  • Безопасная загрузка поддерживается и включена?

Примечание

Windows 10, Windows Server 2016 и Windows Server 2019 поддерживают аттестацию работоспособности устройств с доверенным платформенным модулем (TPM 2,0). Поддержка доверенного платформенного модуля 1,2 была добавлена начиная с Windows версии 1607 (RS1). Для доверенного платформенного модуля 2,0 требуется встроенное по UEFI. Компьютер с устаревшими версиями BIOS и TPM 2,0 не работает должным образом.

Поддерживаемые версии для аттестации работоспособности устройств

Версия TPM Windows10 WindowsServer2016 WindowsServer2019
TPM 1.2 >= ver 1607 >= ver 1607 Да
TPM 2.0 Да Да Да

Статьи по теме