A tpm (windows) alapjai
Ebben a szakaszban az informatikai szakemberek számára a TPM 1.2 és a TPM 2.0 összetevőinek leírását adják meg, és megmagyarázzák azokat a módszereket, amelyeket a szótárkeresés elleni védelemre használnak.
A Trusted Platform Module (TPM) egy olyan chip, amelyet úgy terveztek, hogy biztosítsa az alapvető biztonsági funkciókat, elsősorban a titkosítási kulcsokkal kapcsolatosakat. A TPM általában a számítógép alaplapján van telepítve, és a rendszer többi részével hardverbuszon keresztül működik.
A TPM-sel rendelkező számítógépek kriptográfiai kulcsokat hozhatnak létre és titkosítják őket, így csak a TPM modul képes visszafejteni őket. Ez a folyamat, amelyet gyakran egy kulcs átvitelének vagy kötésének neveznek, segít megvédeni a kulcsot a közzétételtől. Minden TPM modulnak van egy elsődleges átviteli kulcsja, az úgynevezett tároló gyökérkulcs, amelyet maga a TPM tárol. A tárolt gyökérkulcs zárt része vagy a megbízható platformmodulban létrehozott visszaigazoló kulcs soha nem jelenik meg semmilyen más komponens, szoftver, folyamat vagy felhasználó számára.
Megadhatja a TPM által létrehozott titkosítási kulcsok átvitelének képességét. Ha az átviteli opció be van állítva, akkor a kulcs nyitott és zárt részei más komponensekhez, szoftverekhez, folyamatokhoz vagy felhasználókhoz is nyújthatók. Ha megadja, hogy nem tudja átadni a titkosítási kulcsokat, akkor a kulcs privát részét soha nem adják meg más összetevőknek, szoftvereknek, folyamatoknak vagy felhasználóknak.
A TPM modulokkal rendelkező számítógépek olyan kulcsot is létrehozhatnak, amely nemcsak csomagolt, hanem speciális platformméretekhez is kapcsolódik. Ez a típusú kulcs csak akkor dekompresszálható, ha ezek a platformmutatók azonos értékekkel rendelkeznek, mint a kulcs létrehozásakor. Ezt a folyamatot a "TPM modul" fő tömítésének nevezik. A kulcs dekódolását nyomtatásnak nevezik. A TPM modul a TPM-en kívül keletkezett adatokat is lezárhatja és kinyomtathatja. Ezzel a zárolt kulcskal és szoftverekkel, például a BitLocker Drive Encryption eszközzel lezárhatja az adatokat, amíg bizonyos hardver- vagy szoftverkörnyezetek nem teljesülnek.
A megbízható platformmodul használatával a kulcspárok saját darabjai az operációs rendszer által kezelt memóriától elkülönítve tárolódnak. A kulcsok lezárhatók a TPM-ben, és mielőtt azok kinyomtathatók és engedélyezettek, bizonyos rendszerállapot-ellenőrzéseket végezhet (a rendszer megbízhatóságát meghatározó garanciák). A TPM saját belső firmware-t és logikát használ az utasítások feldolgozásához, ezért nem az operációs rendszerre támaszkodik, és nem áll ki az operációs rendszer és az alkalmazás szoftverével kapcsolatos kockázatoknak.
A Windows és a TPM verziók kompatibilitásáról további információt a TPM technológia áttekintése című témakörben talál. A verziókban rendelkezésre álló funkciókat a TCG szervezet specifikációja határozza meg. További információt a TCG webhely Trusted Platform Module szolgáltatás oldalán talál: Trusted Platform Module.
Az alábbi szakaszok áttekintést nyújtanak a TPM-t támogató technológiákról.
A következő szakasz a TPM szolgáltatásokat tárgyalja, amelyek központilag kezelhetők csoportházirend-beállítások segítségével:
A TPM automatikus felkészítése és kezelése
A TPM előkészítése egyszerűsíthető, hogy megkönnyítse a BitLocker és más TPM-függő funkciók számára készen álló rendszerek telepítését. Ezek a fejlesztések lefedik a TPM állapotmodell egyszerűsítését a kész állapotokról való tájékoztatás céljából. Készen áll a korlátozott funkcionalitással vagy Nem áll készen. A megbízható platformmodulokat a kész állapotban is automatikusan elkészítheti. Távoktatás, amely megszünteti egy technikus fizikai jelenlétének követelményét a kezdeti telepítés során. Ezenkívül a TPM verem elérhető a Windows PE előtelepítési környezetben (Windows PE).
Mért terhelés jóváhagyási támogatással
A mérhető terhelésfunkció minden rosszindulatú programot tartalmaz, megbízható logot (ellenáll a hamisításnak és a jogellenes módosításoknak). A rosszindulatú programok a naplót használhatják annak meghatározására, hogy lehet-e megbízni a korábban futó összetevőkben, függetlenül attól, hogy rosszindulatú programok-e fertőzöttek-e. Ez a szoftver mért terhelési naplókat is küldhet távoli kiszolgálónak értékelés céljából. A távoli kiszolgáló elindíthatja a javítási műveleteket az ügyfélprogramon vagy a szabadúszókon keresztül történő programozással, ha szükséges.
Tanúsítványtároló a TPM alapján
A TPM a tanúsítványok és az RSA kulcsok védelmére használható. A TPM kulcsstore szolgáltatója a TPM egyszerű és kényelmes használatát biztosítja a magánkulcsok biztonságos védelmének érdekében. A KSP TPM kulcsok létrehozására használható, amikor egy szervezet tanúsítványokra regisztrál. A KSP vezérlését sablonok végzik a felhasználói felületen. A TPM a külső forrásból importált tanúsítványok védelmére is használható. A TPM alapú tanúsítványok további tanúsítványként használhatók további funkciók használatával, így a tanúsítvány soha nem hagyja el a TPM modulot, amelyben a kulcsokat létrehozták. A TPM mostantól a következő generációs titkosítási API (CNG) használatával használható kriptográfiai műveletekhez. További információ: Titkosítási API: következő generáció.
Regisztrációs kulcs: HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ TPM
TPM Cmdlets
Ha a PowerShell programot szkriptek írására és számítógépek kezelésére használja, akkor a TPM segítségével kezelheti a Windows PowerShell programot. A TPM cmdletek telepítéséhez használja a következő parancsot:
dism / online / enable-feature / FeatureName: tpm-psh-cmdletek
Az egyes cmdletekről részletes információkat a TPM Cmdlets a Windows PowerShell programban talál.
Fizikai jelenlét interfész
A megbízható platformmodulok TCG-szervezeti specifikációja megköveteli a fizikai jelenlétet bizonyos adminisztratív TPM-funkciók végrehajtása során, például a TPM engedélyezését és letiltását. A fizikai jelenlét azt jelenti, hogy egy személynek fizikailag meg kell határoznia a rendszert és a TPM interfészt a TPM állapotváltozások megerősítésére vagy elutasítására. Általában ilyen műveleteket nem lehet automatizálni parancsfájlok vagy más automatizálási eszközök használatával, hacsak nem egy adott hardvergyártó nyújtja őket. Az alábbi példák olyan TPM adminisztrációs feladatokra vonatkoznak, amelyek fizikai jelenlétet igényelnek.
- TPM aktiválása
- A meglévő tulajdonosi adatok törlése a TPM-től a tulajdonos jelszava nélkül
- TPM kikapcsolása
- A TPM ideiglenes letiltása a tulajdonos jelszava nélkül
A rendelkezésre állási állapot a TPM-ben
Mindegyik TPM 1.2 rendelkezésre állási állapot esetén a TPM modul másik állapotba (például off -től -ig) válthat. Az államok nem zárják ki egymást.
Ezek a rendelkezésre állási állapotok nem vonatkoznak a Trusted Platform Module 2.0-ra, mivel nem lehet letiltani az operációs rendszer környezetéből.
Az alkalmazások nem használhatják a TPM-et, mielőtt az "on", "activated" és "owneds" állapotokra kapcsolnak. Minden művelet csak akkor áll rendelkezésre, ha a TPM ebben az állapotban van.
A TPM állapot a számítógép operációs rendszerétől függetlenül létezik. Ha a TPM engedélyezve van, aktiválva van, és a tulajdonos, a TPM állapota megmarad, ha az operációs rendszert újratelepíti.
Megerősítő gombok
A megbízható alkalmazás által használt TPM modulnak tartalmaznia kell egy visszaigazoló kulcsot, amely egy RSA kulcspár. A kulcspár zárt része a TPM belsejében található, soha nem nyílik meg, és a TPM-en kívül nem érhető el. Ha a TPM nem tartalmaz visszaigazoló kulcsot, az alkalmazás a telepítési folyamat részeként kezdeményezheti a TPM modul automatikus létrehozását.
A visszaigazoló kulcs a TPM életciklusának különböző pontjain hozható létre, de csak egyszer a TPM teljes élettartama alatt. A TPM tulajdonjogának megszerzése előtt egy visszaigazoló kulcs jelenik meg.
Kulcs tanúsítás
A TPM kulcs tanúsítása lehetővé teszi a hitelesítésszolgáltató számára annak ellenőrzését, hogy a titkos kulcsot valóban a TPM védi, és a TPM a CA által megbízott modul. A hitelesítő kulcsok, amelyek érvényesek, fel lehet használni a felhasználói azonosítást egy eszközhöz társítani. Ezenkívül a TPM tanúsítvánnyal rendelkező felhasználók tanúsítványa garantálja az exporttilalom által biztosított fokozott biztonságot, a jelszavak kiválasztását és a TPM által biztosított kulcsok elkülönítését.
Hogyan védi a TPM a brute force támadásokkal szemben?
A támadás viselkedése a TPM 2.0 szótárban
A TPM 2.0 jól definiált támadási logikát tartalmaz a szótárkeresésnél. Ellentétben a TPM 1.2-tel, amelyre a gyártó a szótárkutatási támadási logikát alapozta meg, és az iparágban jelentősen különbözött.
Ebben a részben a Windows 8 tanúsított hardvere is a Windows 8.1 rendszerekre vonatkozik. A következő Windows-referenciák a Windows támogatott verzióira vonatkoznak.
A TPM 2.0 modulban található szótárkeresés logikája azonnal újraindítható, ha a reset lock parancsot elküldi a TPM modulnak, és beírja a TPM tulajdonos jelszavát. Alapértelmezés szerint a Windows automatikusan felkészíti a TPM 2.0 alkalmazást, és a rendszergazdák számára a TPM tulajdonos jelszavát használja.
A Windows 8.1 és Windows 8 alapértelmezett beállításainak logikája
A Windows védelmet nyújt a TPM 2.0 többféle komponenssel szembeni erőszakos támadásokkal szemben. Az alapértelmezett értékek a Windows 8 követelményeinek egyensúlyához különböző forgatókönyvek esetén.
Ha például a BitLockert a TPM-mel és a PIN-konfigurációval időben használja, akkor a PIN-kódok számát korlátozni kell. Ha a számítógép elveszett, akkor egy illetéktelen személy csak 32 egymást követő kísérletet tehet egy PIN kód kiválasztására, majd két óránként próbálkozzon. Ez évi 4,415 találgatás. Ez egy jó jelzés a rendszergazdák számára, így meghatározhatja, hogy hány PIN kódot használjon a BitLocker telepítésekhez.
A készülékgyártók és a szoftverfejlesztők lehetőséget kapnak arra, hogy a TPM biztonsági funkcióit saját feladataik megoldására használják.
A 32 hiba blokkolási küszöbét azért választják, mert a felhasználó ritkán blokkolja a TPM modult (még akkor is, ha új jelszavak beírását, vagy a számítógépek gyakori bezárása / feloldása során tanulnak). Ha a felhasználók blokkolják a TPM-et, várjon 2 órát vagy használjon más bejelentkezési adatokat, például a felhasználónevet és a jelszót.
Hogyan ellenőrizhetem a TPM állapotát?
A TPM állapotát ellenőrizheti a Trusted Platform Module beépülő modul (tpm.msc) futtatásával. Az Állapotfejléc a TPM állapotát jelzi. A TPM modul az alábbi állapotok valamelyikében használható: Használatra kész. Készen áll a csökkentett funkcionalitású és nem üzemkész használatra. A legtöbb TPM-funkció használatához a Windows 10 rendszerben a TPM-nek készen kell lennie a használatra.
A TPM működése korlátozott funkcionalitású üzemmódban
Ha a TPM csökkentett funkciójú üzemmódban van, akkor bizonyos TPM-t használó összetevők nem működnek megfelelően. Ezt általában a Windows 10 új telepítése okozza az eszközön, ahol a Windows 8.1, a Windows 8 vagy a Windows 7 korábban ugyanazon hardveren települt. Ha a TPM csökkentett funkciójú üzemmódban van, a TPM készenléti állapotsora megjelenik a TPM beépülő modul Állapotfejlécében, amely készen áll a csökkentett funkcionalitású üzemmódban. Ezt a TPM törlésével lehet rögzíteni.
Nyissa meg a Trusted Platform Modul beépülő modult (tpm.msc).
Kattintson a TPM törlése gombra. majd válassza az Újraindítás lehetőséget.
Amikor a számítógép újraindul, a rendszer kéri a billentyűzet billentyűzetének megnyomásával a TPM törléséhez.
A számítógép újraindítása után a TPM automatikusan felkészül a Windows használatára.