信賴平台模組技術概觀

適用於

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

本主題適用於 IT 專業人員, 說明信賴平台模組 (TPM) 以及 Windows 如何使用它來進行存取控制和驗證。

功能描述

信賴平台模組 (TPM) 技術是專為提供硬體式的安全性相關功能所設計。 TPM 晶片是安全的加密處理器, 其設計目的是執行密碼編譯作業。 該晶片包含多個實體安全性機制, 使其可防竄改, 惡意軟體無法竄改 TPM 的安全性功能。 使用 TPM 技術的一些主要優點是您可以:

  • 產生、儲存密碼編譯金鑰及限制此金鑰的使用。

  • 藉由使用 TPM 的唯一 RSA 金鑰 (已燒錄至其本身),使用 TPM 技術進行平台裝置驗證。

  • 藉由進行和儲存安全性測量,協助確保平台完整性。

最常見的 TPM 功能是用於系統完整性測量及金鑰的建立與使用。 在系統開機程序期間,可以測量載入的開機程式碼 (包括韌體和作業系統元件) 並記錄在 TPM 中。 完整性測量可用來證明系統的啟動情況,以及確保只有在使用正確軟體來進行系統開機的情況下,才會使用 TPM 型金鑰。

TPM 型金鑰有許多不同的設定方式。 其中一個選項是讓 TPM 型金鑰無法在 TPM 外部使用。 這可以有效降低網路釣魚攻擊,因為它會防止金鑰在沒有 TPM 的情況下被複製及使用。 TPM 型金鑰也可以設定成需要授權值才能使用。 如果發生太多次不正確的授權猜測,TPM 將會啟用其字典攻擊邏輯,並防止進一步的授權值猜測。

不同的 TPM 版本皆由信賴運算群組 (TCG) 定義在規範中。 如需詳細資訊, 請參閱 TCG 網站

使用 Windows 自動初始化 TPM

從 Windows 10 和 Windows 11 開始, 作業系統會自動初始化並取得 TPM 的擁有權。 這表示, 在大部分的情況下, 建議您不要透過 TPM 管理主控台 TPM.msc 設定 TPM。 少數的幾個例外,多與電腦重設或執行全新安裝有關。 如需詳細資訊, 請參閱清除所有 TPM 金錀。 從 Windows Server 2019 和 Windows 10 版本 1809開始, 我們 不再主動開發 TPM 管理主控台

在某些特定企業案例中,限 Windows 10 的 1507 及 1511 版,群組原則可能用在 Active Directory 中備份 TPM 擁有者授權值。 因為 TPM 狀態會跨作業系統安裝持續存在,所以此 TPM 資訊會儲存在與電腦物件不同的 Active Directory 位置中。

實際應用

憑證可以安裝或建立在使用 TPM 的電腦上。 佈建電腦之後,憑證的 RSA 私密金鑰會繫結到 TPM 且不能匯出。 TPM 也可以用來取代智慧卡,這樣可以減少智慧卡的相關製造和支付成本。

TPM 中的自動化佈建可降低企業中的 TPM 部署成本。 新的 TPM 管理 API 可以判斷在開機程序期間,TPM 佈建動作是否需要服務技術人員實體操作來核准 TPM 狀態變更要求。

反惡意軟體可以使用作業系統啟動狀態開機測量, 以證明執行 Windows 10 或 Windows 11 或 Windows Server 2016 的電腦資料完整性。 這些測量包括啟動 Hyper-V, 以測試使用虛擬化的資料中心並未執行不受信任的 hypervisor。 使用 BitLocker 網路解除鎖定時,IT 系統管理員可以推播更新,而不需顧慮電腦正在等待輸入 PIN。

TPM 有幾個群組原則設定,可能適用某些企業案例。 如需詳細資訊,請參閱 TPM 群組原則設定

新功能和變更的功能

如需 Windows 信賴平台模組的新增功能和變更功能的詳細資訊, 請參閱信任平台模組的新增功能?

裝置健康情況證明

裝置健康情況證明可讓企業依據受管理裝置的硬體和軟體元件建立信賴關係。 有了裝置健康情況證明,您便可以設定 MDM 伺服器來查詢健康情況證明服務,此服務將會允許或拒絕受管理裝置存取安全的資源。

您可以在裝置上檢查的一些項目是:

  • 是否支援並啟用資料執行防止?

  • 是否支援並啟用 BitLocker 磁碟機加密?

  • 是否支援並啟用 SecureBoot?

注意

Windows 11、Windows 10、Windows Server 2016和 Windows Server 2019 支援使用 TPM 2.0 的裝置健康情況證明。 從 Windows 版本 1607 (RS1) 起新增 TPM 1.2 支援。 TPM 2.0 需要 UEFI 韌體。 具有舊版 BIOS 和 TPM 2.0 的電腦無法如預期一樣工作。

裝置健康情況證明的支援版本

TPM 版本 Windows 11 Windows 10 Windows Server 2016 Windows Server 2019
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0

相關主題