Windows 如何使用信賴平台模組

發行項
03/16/2024
適用於:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows 作業系統會將硬體型安全性放在許多功能內，以最大化平臺安全性，同時提高可用性。為了達到上述許多安全性增強功能，Windows 廣泛使用信賴平臺模組 (TPM) 。本文提供 TPM 的概觀、說明其運作方式，並討論 TPM 為 Windows 帶來的好處，以及使用 TPM 在裝置上執行 Windows 的累積安全性影響。

TPM 概觀

TPM 是強化電腦安全性及隱私權的一組密碼編譯模組。電腦安全性所應具備的基礎功能包含了使用加密及解密來保護資料、保護驗證憑證，以及證明在系統上執行的軟體。 TPM 提供了上述所有的功能，甚至更多。

在過去，TPM 是離散的晶元銷售到計算機的主機板。這類實作可讓計算機的原始設備製造商 (OEM) 評估及認證與系統其餘部分分開的 TPM。儘管特定的 TPM 實作仍很常見，但對於小型或具低耗電量的整合裝置還是會產生問題。某些較新的 TPM 實作會將 TPM 功能整合到與其他平台元件相同的晶片組上，同時仍提供類似特定 TPM 晶片的邏輯分離。

TPM 是被動的︰它們會接收命令並傳回回應。為了充分實現 TPM 的優點，OEM 必須謹慎地將系統硬體和韌體與 TPM 整合，以便傳送命令給它並回應它的回應。 TPM 原本是設計來為平臺的擁有者和使用者提供安全性和隱私權權益，但較新的版本可以為系統硬體本身提供安全性和隱私權權益。不過，必須先佈建 TPM，才能將它用於進階案例。 Windows 會自動布建 TPM，但如果重新安裝作業系統，可能需要明確地重新布建 TPM，才能使用 TPM 的所有功能。

信賴運算群組 (TCG) 是一個非營利組織，該組織會發佈和維護 TPM 規格。 TCG 目前致力於開發、定義及推廣不依賴廠商的全球性產業標準，針對互通的信賴運算平台支援以硬體為基礎的根信任。 TCG 也會使用公共可用規格提交程序發佈 TPM 規格做為國際標準 ISO/IEC 11889，此程序是由聯合技術委員會 1 在國際標準組織 (ISO) 和國際電子電機委員會 (IEC) 之間所定義。

OEM 會在像電腦、平板電腦或行動電話等信賴運算平台上，以元件形式實作 TPM。信任的運算平臺會使用 TPM 來支援軟體無法單獨達到的隱私權和安全性案例。例如，軟體本身無法可靠地報告在系統啟動程式期間是否有惡意代碼。 TPM 與平台之間的緊密整合可提高啟動程序的透明度，並藉由讓對啟動裝置的軟體進行可靠測量及報告來支援評估裝置健康情況。實作 TPM 作為受信任運算平臺的一部分，可提供信任的硬體根目錄，也就是它以受信任的方式運作。例如，如果儲存在 TPM 中的金鑰具有不允許匯出金鑰的屬性，則該金鑰 真的無法離開 TPM。

TCG 將 TPM 設計為低成本且符合大眾市場的安全性解決方案，可處理不同客戶區隔的需求。就像不同行業會有不同的客戶和法規需求，不同的 TPM 實作也會有不同的安全性屬性。例如，在公用部門採購中，有些政府已清楚定義 TPM 的安全性需求，而有些則沒有。

一般而言，TPM 和技術的認證計劃會隨著創新速度的增加而持續演進。雖然擁有 TPM 明顯優於沒有 TPM，但 Microsoft 的最佳建議是判斷貴組織的安全性需求，並研究與您產業採購相關的任何法規需求。其結果將會在使用的案例、保證層級、成本、便利性，以及可用性間取得平衡。

Windows 中的 TPM

Windows 的安全性功能結合 TPM 的優點，可提供實際的安全性和隱私權權益。下列各節從 Windows 中的主要 TPM 相關安全性功能開始，並繼續說明關鍵技術如何使用 TPM 來啟用或提高安全性。

平台密碼編譯提供者

Windows 包含了一組名為「下一代密碼編譯 API (CNG)」的密碼編譯架構，其基本方法是在採用一般應用程式開發介面 (API) 的情況下，以不同的方式來實作密碼編譯演算法。使用加密的應用程式可直接使用一般的 API，而無須知道實作演算法的細節，更不需知道演算法本身為何。

雖然 CNG 聽起來有點像是一個乏味的起點，但它仍能說明 TPM 提供的一些優點。在 CNG 介面下，Windows 或第三方提供密碼編譯提供者 (，也就是演算法的實作) 單獨實作為軟體連結庫，或是軟體和可用系統硬體或非 Microsoft 硬體的組合。若其透過硬體實作，則密碼編譯提供者會與 CNG 軟體介面背後的硬體通訊。

Windows 8 中引進的平臺密碼編譯提供者會公開下列特殊的 TPM 屬性，僅限軟體的 CNG 提供者無法提供或無法提供如此有效的屬性：

金鑰保護。平台密碼編譯提供者可在 TPM 中建立金鑰，並限制其用途。操作系統可以載入和使用 TPM 中的金鑰，而不需要將金鑰複製到系統記憶體，因為系統記憶體很容易遭受惡意代碼攻擊。平臺密碼編譯提供者也可以設定 TPM 保護的金鑰，使其無法卸除。若 TPM 建立了一組金鑰，則該金鑰便是唯一的，且只存放於該 TPM 中。如果 TPM 匯入金鑰，平臺密碼編譯提供者可以使用該 TPM 中的金鑰，但 TPM 不是建立更多金鑰複本或啟用在其他地方使用複本的來源。與其形成強烈對比的，即是保護金鑰遭到複製的軟體解決方案，因為其將受到反向工程的威脅：即有人可能會理解解決方案儲存金鑰的方式，或是在金鑰位於記憶體並正在使用中時建立金鑰的複本。
字典攻擊保護。受到 TPM 保護的金鑰可要求一個授權值，例如 PIN。透過使用字典攻擊保護，TPM 可防止嘗試使用大量猜測來判斷 PIN 的攻擊方式。在猜測失敗太多次後，TPM 將僅會傳回一個錯誤訊息，顯示在一段時間內將無法再度進行嘗試。軟體解決方案可能會提供類似的功能，但無法提供相同層級的保護，特別是當系統重新啟動、系統時鐘變更，或硬碟上計數失敗猜測的檔案回復時。此外，透過字典攻擊保護，授權值 (例如 PIN) 的長度將能更短，並且更容易記憶，然而卻又能提供使用軟體解決方案複雜數值時相同層級的安全性。

這些 TPM 的功能賦予了平台密碼編譯提供者有別於軟體式解決方案的極大優勢。實際查看這些優點的實際方式是在 Windows 裝置上使用憑證時。在包含 TPM 的平台上，Windows 可使用平台密碼編譯提供者來提供憑證存放區。憑證範本可以指定 TPM 使用平台密碼編譯提供者來保護與憑證相關聯的金鑰。在某些計算機可能沒有 TPM 的混合環境中，證書範本可能會偏好平臺密碼編譯提供者，而不是標準 Windows 軟體提供者。如果憑證設定為無法匯出，則憑證的私鑰會受到限制，而且無法從 TPM 匯出。如果憑證需要 PIN，PIN 會自動取得 TPM 的字典攻擊保護。

虛擬智慧卡

警告

Windows Hello 企業版和 FIDO2 安全性金鑰是適用於 Windows 的新式雙因素驗證方法。建議使用虛擬智慧卡的客戶移至 Windows Hello 企業版或 FIDO2。針對新的 Windows 安裝，建議您 Windows Hello 企業版或 FIDO2 安全性密鑰。

智慧卡是一般儲存單一憑證和對應私鑰的實體裝置。使用者可將智慧卡插入內建讀卡機或 USB 讀卡機，並輸入 PIN 來解除鎖定。 Windows 接著可以存取卡片的憑證，並使用私鑰進行驗證，或解除鎖定受 BitLocker 保護的數據磁碟區。智慧卡如此熱門，是因為他們提供了雙因素驗證，其需要使用者擁有的某些東西 (即智慧卡)，以及使用者知道的某些東西 (例如智慧卡的 PIN)。不過，智慧卡可能會很昂貴，因為它們需要購買和部署智慧卡和智慧卡卡片閱讀機。

在 Windows 中，虛擬智慧卡功能可允許 TPM 模擬永久插入的智慧卡。 TPM 會變成 用戶擁有但 仍然需要 PIN 的專案。雖然實體智慧卡會在鎖定卡片並需要重設之前限制 PIN 嘗試次數，但虛擬智慧卡會依賴 TPM 的字典攻擊保護來防止太多 PIN 猜測。

針對以 TPM 為基礎的虛擬智慧卡，TPM 會保護憑證私鑰的使用和儲存，使其在使用中或儲存在其他地方時無法複製。使用屬於系統一部分的元件，而不是個別的實體智慧卡，可以降低總擁有成本。遺 失的卡片 或留在 住家的卡片 不適用，而且會保留智慧卡型多重要素驗證的優點。對使用者來說，虛擬智慧卡易於使用，只需使用 PIN 即可解除鎖定。虛擬智慧卡支援實體智慧卡支援的所有案例，包括登入 Windows 或驗證資源存取。

Windows Hello 企業版

Windows Hello 企業版提供的驗證方法主要是用來取代難以記住且易於洩露的密碼。此外，用於驗證的使用者名稱/密碼解決方案通常會在多個裝置和服務上重複使用相同的認證組合。如果這些認證遭到入侵，它們會在多個位置遭到入侵。 Windows Hello 企業版結合每個裝置上佈建的資訊 (也就是密碼編譯密鑰) 與驗證使用者的其他資訊。在具備 TPM 的系統上，TPM 則可以保護金鑰。若系統並未具備 TPM，則軟體式技術會保護金鑰。使用者提供的額外資訊可以是一組 PIN 值，或是在系統配備必要的硬體時，也可以是一組生物特徵辨識資訊，例如指紋或臉部辨識。為了保護隱私權，生物特徵辨識資訊只適用於佈建裝置存取佈建的金鑰：它無法在不同裝置上共用。

若要採用新的驗證科技，識別提供者及組織都需要先行部署並使用該科技。 Windows Hello 企業版可讓使用者使用其現有的 Microsoft 帳戶、Active Directory 帳戶、Microsoft Entra 帳戶，或甚至是支援 Fast ID Online V2.0 驗證的非 Microsoft 身分識別提供者服務或信賴憑證者服務進行驗證。

識別提供者可彈性決定其如何在用戶端裝置上佈建認證。例如：一個組織可能會僅佈建擁有 TPM 的裝置，好讓組織能夠知道 TPM 正在保護認證。若要區別 TPM 及行為與 TPM 類似的惡意程式碼，即需要下列 TPM 功能 (請參閱圖 1)：

簽署金鑰。 TPM 製造商可在 TPM 中建立一組稱作「簽署金鑰」的特殊金鑰。由製造商簽署的簽署金鑰憑證指出簽署金鑰存在於製造商所建立的 TPM 中。解決方案可以使用憑證搭配包含簽署密鑰的 TPM，確認案例確實牽涉到特定 TPM 製造商 (的 TPM，而不是像 TPM) 一樣的惡意代碼。
證明身分識別金鑰。為保護隱私權，大部分的 TPM 案例都不會直接使用實際的簽署金鑰。他們使用的是證明識別金鑰，而識別憑證授權單位 (CA) 會使用簽署金鑰及其憑證來證明一或多個證明識別金鑰確實存在於真正的 TPM 中。識別 CA 會發行證明識別金鑰憑證。多於一個的識別 CA 通常都會看見相同的，可唯一識別 TPM 的簽署金鑰憑證，但是能夠建立並限制在其他案例中共用資訊的證明識別金鑰則不限數量。

圖 1：TPM 密碼編譯密鑰管理

針對 Windows Hello 企業版，Microsoft 可擔當識別 CA 的角色。 Microsoft 服務可為每個裝置、使用者發行證明識別金鑰憑證，識別提供者以確保隱私權受到保護，並能協助識別提供者在佈建 Windows Hello 企業版認證前已滿足裝置 TPM 需求。

BitLocker 磁碟機加密

BitLocker 可加密完整磁碟區以在靜止狀態時保護資料。一般裝置設定會將硬碟分割成數個磁碟區。作業系統及使用者資料會存放在一個保存機密資訊的磁碟區中，而其他磁碟區則存放了公開的資訊，例如開機元件、系統資訊，以及修復工具。 (這些其他磁碟區不常使用，使用者就不需要看見它們。) 若沒有更多保護，如果包含操作系統和用戶數據的磁碟區未加密，則有人可以開機另一個操作系統，並輕鬆地略過預期的操作系統強制執行檔案許可權來讀取任何用戶數據。

在最常見的設定中，BitLocker 會加密作業系統磁碟區，以避免電腦或硬碟在關機狀態下遺失或遭竊時，磁碟區上的資料仍可維持在機密狀態。當電腦開機，正常啟動，並且繼續前進到 Windows 登入提示時，要繼續前進的唯一方式就是要求使用者使用其認證進行登入。此舉可允許作業系統強制執行其一般檔案權限管理。不過，如果開機程式有所變更，則會從USB裝置開機不同的作業系統-操作系統磁碟區和用戶數據無法讀取且無法存取。 TPM 和系統韌體會共同記錄系統啟動的度量資訊，包括載入的軟體及設定詳細資料，例如開機是從硬碟還是 USB 裝置進行的。 BitLocker 僅能在啟動過程以預期方式進行時，才能依賴 TPM 來允許金鑰的使用。系統韌體和 TPM 是經過小心的設計完成的，為的是能一同運作並提供下列功能：

用於測量的硬體信任根目錄。 TPM 可允許軟體傳送記錄軟體或設定資訊度量的命令。這項資訊可透過使用雜湊演算法進行計算，其基本上會將許多資料轉換成小型、統計上唯一的雜湊值。系統韌體具備了一個名為 Core Root of Trust for Measurement (CRTM) 的元件，其預設是信任的。 CRTM 會無條件雜湊下一個軟體元件，並透過傳送命令至 TPM 來記錄度量值。後續元件，無論是系統韌體還是作業系統載入器，都會透過測量執行他們前載入的任何軟體元件來繼續處理序。因為每個元件的度量都會在執行之前傳送至 TPM，所以元件無法從 TPM 清除其度量。 (然而，系統重新啟動時，度量即會清除。) 其結果是在系統啟動過程的每一個步驟中。TPM 都會持有啟動軟體的度量及設定資訊。任何啟動軟體或設定中發生的變更都會導致在該步驟及後續步驟出現不同的 TPM 度量。由於系統韌體會無條件的開始一連串的度量，它為 TPM 度量提供了硬體式的根信任。在開機過程的某個時間點，記錄所有載入軟體及設定資訊的值會減少，而度量鏈結也會停止。 TPM 允許建立在持有度量的平台設定暫存器具有特定數值時才能使用的金鑰。
只有在開機測量正確時才會使用密鑰。 BitLocker 會在 TPM 中建立只有在開機度量符合預期值時才會使用的金鑰。當 Windows 開機管理程式在系統硬碟上從作業系統執行時，會為了開機過程中的步驟計算預期值。以未加密的狀態儲存在開機磁碟區的 Windows 開機管理程式，需要使用 TPM 金鑰才能解密從作業系統磁碟區讀入記憶體的資料，並使啟動過程繼續使用加密的系統磁碟區。如果開機了不同的作業系統或變更設定，TPM 中的度量值將會不同，TPM 將不會讓 Windows 開機管理員使用密鑰，而且啟動程式無法正常執行，因為操作系統上的數據無法解密。若有人嘗試使用不同的作業系統或裝置進行開基，TPM 中的軟體或設定度量將會出錯，而 TPM 便不會允許使用用於解密作業系統磁碟區的金鑰。為了保險起見，若度量值在未預期的情況下變更，使用者仍能使用 BitLocker 修復金鑰來存取磁碟區資料。組織可以設定 BitLocker 將修復金鑰儲存 Active Directory 網域服務 (AD DS) 。

裝置的硬體特性對於 BitLocker 及其保護資料的能力來說非常重要。其中一個考量是裝置是否在登入畫面中提供了攻擊媒介。例如，如果 Windows 裝置的埠允許直接記憶體存取，以便有人能夠插入硬體和讀取記憶體，攻擊者就可以在 Windows 登入畫面時，從記憶體讀取作業系統磁碟區的解密密鑰。若要降低此風險，組織可設定 BitLocker，使 TPM 金鑰同時要求正確的軟體度量及授權值。系統啟動過程會在 Windows 開機管理程式中停止，而使用者將會接收到提示其輸入 TPM 金鑰授權值或插入具備該值之 USB 裝置的訊息。此過程可防止 BitLocker 自動將金鑰載入記憶體，使其受到安全性的威脅，但相對的其使用者體驗也會下降。

較新的硬體和 Windows 會更有效地搭配運作，以透過埠停用直接記憶體存取，並減少攻擊媒介。其結果便是組織能部署更多系統，而無須要求使用者在開機過程中輸入額外的授權資訊。正確的硬體可讓 BitLocker 搭配「僅限 TPM」設定使用，讓使用者無需在開機期間輸入 PIN 或 USB 金鑰即可獲得單一登錄體驗。

裝置加密

裝置加密是 BitLocker 的消費者版本，其使用了相同的基本技術。運作方式是，如果客戶使用 Microsoft 帳戶登入，且系統符合新式待命硬體需求，則會在 Windows 中自動啟用 BitLocker 磁碟驅動器加密。修復金鑰會備份在 Microsoft Cloud 中，供消費者使用其 Microsoft 帳戶進行存取。新式待命硬體需求會通知 Windows，硬體適合用於部署裝置加密，並允許使用「僅限 TPM」設定來獲得簡單的取用者體驗。此外，新式待命硬體也設計成可減少度量值發生變更並提示客戶輸入修復金鑰的可能性。

針對軟體度量，裝置加密倚賴提供軟體元件之授權單位的度量 (根據製造商，例如 OEM 或 Microsoft 的程式碼簽署)，而非軟體元件本身的精確雜湊值。這可允許元件進行服務，而無須變更其結果的度量值。針對設定度量，使用的值將會以開機安全性原則為基礎，而非許多其他在開機過程中記錄的組態設定。這些值發生變更的頻率也較低。其結果為裝置加密會在適當的硬體上，以對使用者友善的方式啟用，同時卻仍能保護資料。

測量開機

Windows 8 引進了「測量開機」，透過 Windows 作業系統的初始化，作為作業系統記錄 TPM 中軟體元件及設定資訊度量鏈結的一種方式。在先前的 Windows 版本中，度量鏈結會在 Windows 開機管理程式元件本身停止，而 TPM 中的度量針對了解 Windows 的啟動狀態，也未能提供太多幫助。

Windows 開機程式會分階段進行，而且通常牽涉到非 Microsoft 驅動程式與廠商特定硬體通訊，或實作反惡意代碼解決方案。針對軟體，測量開機會記錄 Windows 核心、開機初期啟動的反惡意程式碼驅動程式，以及 TPM 中開機驅動程式的度量。針對組態設定，測量開機會記錄與安全性有關的資訊，例如反惡意程式碼驅動程式使用的簽章資料，以及關於 Windows 安全性功能的設定資料 (例如：BitLocker 是否已開啟)。

測量開機會確認 TPM 度量完整反映了 Windows 軟體及組態設定的啟動狀態。若安全性設定及其他保護已正確設定，則他們便可受到信任，用於維持於之後執行作業系統時的安全性。其他案例可以使用操作系統的啟動狀態來判斷是否應信任執行中的操作系統。

TPM 度量已設計成可避免將任何可能侵犯隱私權的資訊記錄成度量。作為額外的隱私權保護措施，測量開機會在 Windows 的初始啟動狀態時停止度量鏈結。因此，度量組不會包含正在使用中應用程式的詳細資料，也不會包含 Windows 使用方式的詳細資料。度量資訊可與外部實體共用，以顯示裝置正在強制執行適當的安全性原則，且並未與惡意程式碼一同啟動。

TPM 為案例提供了下列使用 TPM 於開機時記錄之度量的方式：

遠程證明。使用證明識別金鑰，TPM 可產生並以密碼編譯的方式簽署一份 TPM 中目前度量的聲明 (或稱之為「引述」)。 Windows 可以針對各種案例建立唯一的證明身分識別密鑰，以防止個別評估工具共同作業以追蹤相同的裝置。引述中的額外資訊會經密碼編譯的方式進行變碼，以限制資訊共用，並提供更好的隱私權保護。藉由將引述傳送到遠端實體，裝置可證明用於啟動裝置及初始化作業系統的軟體及組態設定。證明識別金鑰憑證可提供該引述確實是來自真正 TPM 的進一步保證。遠端證明是記錄 TPM 中度量、產生引述、將引述資訊傳送至另一個評估度量的系統以建立裝置信任的一連串過程。圖 2 說明了這個過程。

當新的安全性功能加入 Windows 時，測量開機會將與安全性有關的設定資訊加入到 TPM 中記錄的度量中。測量開機會啟用反映系統韌體及 Windows 初始化狀態的證明案例。

圖 2：用來使用 TPM 建立開機軟體和設定辨識項的程式

裝置健康情況證明

某些 Windows 改良功能可協助安全性解決方案實作遠程證明案例。 Microsoft 提供「裝置健康情況證明」服務，可為來自不同製造商的 TPM 建立證明識別金鑰憑證，以及剖析測量開機資訊，以擷取簡單安全性判斷提示，例如 BitLocker 是否已開啟。簡單安全性判斷提示可用於評估裝置健全狀況。

行動裝置管理 (MDM) 解決方案可為用戶端從 Microsoft Health 證明服務接收簡單安全性判斷提示，而無須面對複雜的引述或詳細的 TPM 度量。 MDM 解決方案可透過隔離狀況不良的裝置或封鎖其存取如 Microsoft Office 365 等雲端服務來根據安全性資訊發揮作用。

Credential Guard

Credential Guard 是 Windows 中的新功能，可協助保護已部署 AD DS 之組織中的 Windows 認證。在過去，使用者的認證 (例如登入密碼) 哈希來產生授權令牌。使用者接著便可採用權杖存取其允許使用的資源。令牌模型的其中一個缺點是，可存取作業系統核心的惡意代碼可能會查看計算機的記憶體，並收集目前使用中的所有存取令牌。攻擊者接著便可使用搜集的權杖來登入其他電腦並收集更多認證。這種攻擊稱為「傳遞哈希」攻擊，這是一種惡意代碼技術，會感染一部計算機來感染整個組織中的許多計算機。

類似於 Microsoft Hyper-V 讓虛擬機 (VM 彼此) 分開的方式，Credential Guard 會使用虛擬化來隔離在操作系統核心無法存取的記憶體區域中哈希認證的程式。這個隔離的記憶體區域會在開機程式期間初始化並受到保護，讓較大操作系統環境中的元件無法竄改它。 Credential Guard 使用 TPM 來保護它的金鑰及 TPM 度量，因此其只能在開機程序步驟中，個別的區域初始化時才能進行存取。在一般作業系統核心中，無法使用他們。 Windows 核心中的本機安全性授權碼會透過傳入認證並接收單次使用之授權權杖，來與隔離的記憶體區域互動。

產生的解決方案提供深層防禦，因為即使惡意代碼在操作系統核心中執行，也無法存取實際產生授權令牌之隔離記憶體區域內的秘密。此解決方案無法解決密鑰記錄器的問題，因為這類記錄器擷取的密碼實際上會通過一般 Windows 核心，但是結合其他解決方案，例如用於驗證的智慧卡時，Credential Guard 可大幅增強 Windows 中的認證保護。

總結

TPM 為 Windows 新增硬體型安全性優點。在包含 TPM 的硬體上安裝時，Window 可提供更完善的安全性優點。下表摘要說明 TPM 主要功能的主要優點。

功能	在具備 TPM 的系統上使用時之優點
平台密碼編譯提供者	- 如果電腦遭到入侵，則無法從裝置複製與憑證相關聯的私鑰。 - TPM 的字典攻擊機制可保護 PIN 值以使用憑證。
虛擬智慧卡	達到與實體智慧卡類似的安全性，而不需要部署實體智慧卡或卡片閱讀機。
Windows Hello 企業版	- 無法將裝置上布建的認證複製到其他位置。 - 在布建認證之前確認裝置的 TPM。
BitLocker 磁碟機加密	企業可使用多個選項來保護待用數據，同時平衡不同裝置硬體的安全性需求。
裝置加密	使用 Microsoft 帳戶和適當的硬體，取用者的裝置可順暢地受益於待用數據保護。
測量開機	信任的硬體根目錄包含可協助在遠端證明期間偵測惡意代碼的開機測量。
裝置健康情況證明	MDM 解決方案可以在授與資源或雲端服務的存取權之前，輕鬆地執行遠端證明並評估用戶端健康情況，例如 Office 365。
Credential Guard	深層防禦會增加，因此即使惡意代碼在一部計算機上具有系統管理許可權，也很難入侵組織中的其他計算機。

雖然有些上述功能有額外的硬體需求， (例如虛擬化支援) ，但 TPM 是 Windows 安全性的基石。 Microsoft 和其他業界的利害關係人都會持續改善與 TPM 相關聯的全球標準，並尋找更多使用它來提供有形利益給客戶的應用程式。 Microsoft 在其適用於物聯網 (IoT) Windows IoT 核心版的 Windows 版本中包含大部分 TPM 功能的支援。可能需要在不安全的實體位置中部署並連接到雲端服務 (例如 Azure IoT 中樞) 以進行管理的 IoT 裝置，可以利用創新的方式來使用 TPM，以滿足其新興的安全性需求。