受信任的平台模块技术概述

适用范围

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

本主题面向 IT 专业人员介绍受信任的平台模块 (TPM),以及 Windows 如何用其进行访问控制和身份验证。

功能说明

受信任的平台模块 (TPM) 技术旨在提供基于硬件的安全相关功能。 TPM 芯片是安全加密处理器,旨在执行加密操作。 芯片包括多个物理安全机制,使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。 使用 TPM 技术的一些主要优点是你可以实现以下目的:

  • 生成、存储和限制使用加密密钥。

  • 使用刻录到自身的 TPM 的唯一 RSA 密钥,可以将 TPM 技术用于平台设备身份验证。

  • 通过采用并存储安全措施可帮助确保平台的完整性。

最常用的 TPM 功能用于系统完整性测量以及密钥创建和使用。 在系统启动过程中,可以在 TPM 中测量并记录加载的启动代码(包括固件和操作系统组件)。 完整性测量可以用作系统启动方式的证据,并可用于确保仅当正确的软件用于启动系统时,才使用基于 TPM 的密钥。

可以使用多种方法配置基于 TPM 的密钥。 一个选项是使基于 TPM 的密钥不可在 TPM 以外使用。 这是减少网络钓鱼攻击的好方法,因为它会阻止复制并使用没有 TPM 的密钥。 基于 TPM 的密钥还可以配置为需要授权值才可以使用它们。 当发生过多不正确的授权猜测时,TPM 将激活其字典攻击逻辑,以阻止进一步授权值猜测。

按照受信任的计算组 (TCG) 的规范定义不同版本的 TPM。 有关详细信息,请访问 TCG 网站

Windows 10 中 TPM 的自动初始化

从 Windows 10 开始,操作系统会自动初始化 TPM 并取得其所有权。 这意味着,在大多数情况下,我们建议你避免通过 TPM 管理控制台 TPM.msc 配置 TPM。 但也有少数例外,主要与在电脑上重置或执行干净安装有关。 有关详细信息,请参阅从 TPM 清除所有密钥。 从 Windows Server 2019 和 Windows 10 版本 1809 开始,我们不再积极开发TPM管理Windows 10 版本 1809。

在某些特定的企业版方案(仅限于 Windows 10 版本 1507 和 1511)中,可能会使用组策略在 Active Directory 中备份 TPM 所有者授权值。 由于 TPM 状态在整个操作系统安装期间保持不变,因此,该 TPM 信息将存储在独立于计算机对象的 Active Directory 中的某个位置。

实际应用程序

可以在要使用 TPM 的计算机上安装或创建证书。 预置计算机后,证书的 RSA 私钥将绑定到 TPM,但不能导出。 TPM 还可用于替换智能卡,这会降低与创建和支付智能卡相关联的成本。

TPM 中的自动预配可降低企业中 TPM 部署的成本。 适用于 TPM 管理的新 API 可确定是否需要实际存在服务技术人员以同意启动过程中的 TPM 状态更改请求。

反恶意软件可以使用操作系统启动状态启动测量来证明运行 Windows 10 或更高版本或 Windows Server 2016 的计算机的完整性。 这些测试包括启动 Hyper-V 以测试采用虚拟化技术的数据中心不会运行不受信任的虚拟机监控程序。 借助 BitLocker 网络解锁,IT 管理员可以推送更新而无需关注计算机是否在等待 PIN 项。

TPM 具有多个组策略设置,可适用于某些企业方案。 有关详细信息,请参阅 TPM 组策略设置

新增功能和更改的功能

有关受信任平台模块的新功能和已更改功能Windows 10,请参阅受信任的平台模块中的新增功能?

设备运行状况证明

设备运行状况证明使企业能够根据托管设备的硬件和软件组件来建立信任。 使用设备运行状况证明,你可以配置 MDM 服务器来查询将允许或拒绝托管设备访问安全资源的运行状况证明服务。

以下是你可以在设备上查看的一些事项:

  • 数据执行保护是否受支持并已启用?

  • BitLocker 驱动器加密是否受支持并已启用?

  • SecureBoot 是否受支持并已启用?

备注

Windows 11、Windows 10、Windows Server 2016 和 Windows Server 2019 支持 TPM 2.0 的设备运行状况证明。 从 RS1 版本 1607 Windows开始,增加了对 TPM 1.2 (支持) 。 TPM 2.0 需要 UEFI 固件。 具有传统 BIOS 和 TPM 2.0 的计算机无法如期工作。

设备运行状况证明支持的版本

TPM 版本 Windows 11 Windows 10 Windows Server 2016 Windows Server 2019
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0

相关主题