Trusted Platform Module – Technologieübersicht

Dieser Artikel beschreibt das Trusted Platform Module (TPM) und wie Windows es für die Zugriffssteuerung und Authentifizierung verwendet.

Funktionsbeschreibung

Die TPM-Technologie (Trusted Platform Module) wurde entwickelt, um hardwarebasierte, sicherheitsbezogene Funktionen bereitzustellen. Ein TPM-Chip ist ein sicherer Kryptografieprozessor, der für kryptografische Vorgänge konzipiert ist. Der Chip enthält mehrere physische Sicherheitsmechanismen, um ihn manipulationssicher zu machen, und Schadsoftware kann die Sicherheitsfunktionen des TPM nicht manipulieren. Einige der Vorteile der Verwendung von TPM-Technologie sind:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.
  • Verwenden Sie ihn für die Geräteauthentifizierung, indem Sie den eindeutigen RSA-Schlüssel des TPM verwenden, der in den Chip eingebrannt wird.
  • Stellen Sie die Plattformintegrität sicher, indem Sie Sicherheitsmessungen des Startprozesses durchführen und speichern.

Die häufigsten TPM-Funktionen werden für Messungen der Systemintegrität sowie für die Erstellung und Verwendung von Schlüsseln verwendet. Während des Systemstarts kann der geladene Startcode (einschließlich Firmware- und Betriebssystemkomponenten) gemessen und im TPM aufgezeichnet werden. Mithilfe der Integritätsmessungen kann nachgewiesen werden, wie ein System gestartet wurde. Darüber hinaus stellen sie sicher, dass ein TPM-basierter Schlüssel erst verwendet wurde, nachdem das System mit der richtigen Software gestartet wurde.

TPM-basierte Schlüssel können auf verschiedene Weise konfiguriert werden. Beispielsweise können Sie dafür sorgen, dass ein TPM-basierter Schlüssel nicht außerhalb des TPMs verfügbar ist. Auf diese Weise lassen sich Phishingangriffe verringern, da der Schlüssel nicht ohne das TPM kopiert und verwendet wird. TPM-basierte Schlüssel können auch so konfiguriert werden, dass zu ihrer Verwendung ein Autorisierungswert erforderlich ist. Wenn zu viele falsche Autorisierungsschätzungen auftreten, aktiviert das TPM seine Wörterbuchangriffslogik und verhindert weitere Autorisierungswerte.

In den Spezifikationen der Trusted Computing Group (TCG) sind unterschiedliche TPM-Versionen definiert. Weitere Informationen finden Sie auf der TCG-Website.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die TPM (Trusted Platform Module) unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

TPM-Lizenzberechtigungen (Trusted Platform Module) werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Automatische Initialisierung des TPM mit Windows

Ab Windows 10 und Windows 11 wird das Betriebssystem automatisch initialisiert und übernimmt den Besitz des TPM. Daher empfiehlt es sich in den meisten Fällen, die Konfiguration des TPMs über die TPM-Verwaltungskonsole TPM.msc zu vermeiden. Es gibt einige Ausnahmen, die hauptsächlich mit dem Zurücksetzen oder einer Neuinstallation auf einem PC in Zusammenhang stehen. Weitere Informationen finden Sie unter Löschen aller Schlüssel aus dem TPM.

Hinweis

Wir entwickeln die TPM-Verwaltungskonsole nicht mehr aktiv ab Windows Server 2019 und Windows 10, Version 1809.

In bestimmten Unternehmensszenarios (nur Windows 10, Version 1507 und 1511) kann die Gruppenrichtlinie zum Sichern des TPM-Benutzerautorisierungswerts in Active Directory verwendet werden. Da der TPM-Zustand über Betriebssysteminstallationen hinweg erhalten bleibt, werden diese TPM-Informationen an einem von Computerobjekten getrennten Speicherort in Active Directory gespeichert.

Praktische Anwendungsfälle

Zertifikate können auf Computern installiert oder erstellt werden, die das TPM verwenden. Nachdem ein Computer bereitgestellt wurde, wird der private RSA-Schlüssel für ein Zertifikat an das TPM gebunden und kann nicht exportiert werden. Das TPM kann auch als Ersatz für Smartcards verwendet werden, wodurch die Kosten im Zusammenhang mit der Erstellung und Auszahlung von Smartcards reduziert werden.

Die automatische Bereitstellung im TPM reduziert die Kosten der TPM-Bereitstellung in einem Unternehmen. Neue APIs für die TPM-Verwaltung können bestimmen, ob für TPM-Bereitstellungsaktionen die physische Anwesenheit eines Servicetechnikers erforderlich ist, um während des Startvorgangs Anforderungen zur Änderung des TPM-Zustands zu genehmigen.

Antischadsoftware kann die Startmessungen des Startzustands des Betriebssystems verwenden, um die Integrität eines Computers unter Windows nachzuweisen. Diese Messungen umfassen den Start von Hyper-V, um zu testen, dass Rechenzentren, die Virtualisierung verwenden, keine nicht vertrauenswürdigen Hypervisoren ausführen. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Pushupdate ausführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist.

Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, die in bestimmten Unternehmensszenarios nützlich sein können. Weitere Informationen finden Sie unter TPM-Gruppenrichtlinieneinstellungen.

Nachweis über Geräteintegrität

Durch den Nachweis der Geräteintegrität können Unternehmen eine Vertrauensstellung basierend auf Hardware- und Softwarekomponenten eines verwalteten Geräts herstellen. Mit dem Geräte-Integritätsnachweis können Sie einen MDM-Server konfigurieren, um einen Integritätsnachweisdienst abzufragen, der einem verwalteten Gerät den Zugriff auf eine sichere Ressource zulässt oder verweigert.

Einige Sicherheitsprobleme, die Sie auf den Geräten überprüfen können, sind:

  • Wird die Datenausführungsverhinderung unterstützt und ist sie aktiviert?
  • Wird die BitLocker-Laufwerkverschlüsselung unterstützt und ist sie aktiviert?
  • Wird SecureBoot unterstützt und ist es aktiviert?

Hinweis

Windows unterstützt den Geräteintegritätsnachweis mit TPM 2.0. TPM 2.0 erfordert UEFI-Firmware. Ein Gerät mit Legacy-BIOS und TPM 2.0 funktioniert nicht wie erwartet.

Unterstützte Versionen für den Integritätsnachweis für Geräte

TPM-Version Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 Ja >= ver 1607
TPM 2.0 Ja Ja Ja Ja Ja