Visão geral da tecnologia Trusted Platform Module

Este artigo descreve o TPM (Trusted Platform Module) e como o Windows o usa para controle de acesso e autenticação.

Descrição do recurso

A tecnologia TPM (Trusted Platform Module) foi projetada para fornecer funções relacionadas à segurança baseadas em hardware. Um chip TPM é um processador de criptografia seguro projetado para executar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a violações, e um software mal-intencionado não pode violar as funções de segurança do TPM. Algumas das vantagens de usar a tecnologia TPM são:

  • Gerar, armazenar e limitar o uso de chaves de criptografia.
  • Use-o para autenticação de dispositivo usando a chave RSA exclusiva do TPM, que é queimada no chip.
  • Ajude a garantir a integridade da plataforma tomando e armazenando medidas de segurança do processo de inicialização.

As funções mais comuns do TPM são para medições de integridade do sistema e uso e criação de chaves. Durante o processo de inicialização de um sistema, o código de inicialização que é carregado (incluindo firmware e componentes do sistema operacional) pode ser medido e gravado no TPM. As medidas de integridade podem ser usadas como prova de como um sistema foi iniciado e como garantia de que uma chave baseada no TPM só foi usada com o software correto para inicializar o sistema.

As chaves baseadas em TPM podem ser configuradas de várias maneiras. Uma opção é tornar uma chave baseada no TPM indisponível fora do TPM. Isso é bom para reduzir ataques de phishing porque impede que a chave seja copiada e usada sem o TPM. As chaves baseadas no TPM também podem ser configuradas para exigir um valor de autorização de uso. Se ocorrerem muitos palpites de autorização incorretos, o TPM ativará sua lógica de ataque de dicionário e impedirá novas suposições de valor de autorização.

Versões diferentes do TPM estão definidas nas especificações pelo TCG (Trusted Computing Group). Para obter mais informações, consulte o site do TCG.

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte ao TPM (Trusted Platform Module):

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença do TPM (Trusted Platform Module) são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Inicialização automática do TPM com o Windows

Desde o Windows 10 e o Windows 11, o sistema operacional é inicializado automaticamente e assume propriedade do TPM. Isso significa que, na maioria dos casos, recomendamos que você evite configurar o TPM por meio do console de gerenciamento do TPM, TPM.msc. Há algumas exceções, principalmente relacionadas à redefinição ou à realização de uma instalação limpa em um computador. Para obter mais informações, confira Limpar todas as chaves do TPM.

Observação

Não estamos mais desenvolvendo ativamente o console de gerenciamento do TPM, desde o Windows Server 2019 e o Windows 10, versão 1809.

Em determinados cenários corporativos específicos limitados ao Windows 10, versões 1507 e 1511, a Política de Grupo pode ser usada para fazer backup do valor de autorização do proprietário do TPM no Active Directory. Como o estado do TPM é preservado em todas as instalações de sistema operacional, essas informações do TPM são armazenadas em um local separado dos objetos do computador no Active Directory.

Aplicações práticas

É possível instalar ou criar certificados em computadores usando o TPM. Depois que um computador é provisionado, a chave privada RSA para um certificado é vinculada ao TPM e não pode ser exportada. O TPM também pode ser usado como um substituto para cartões inteligentes, o que reduz os custos associados à criação e distribuição de cartões inteligentes.

O provisionamento automatizado no TPM reduz o custo de implantação do TPM em uma empresa. As novas APIs para gerenciamento do TPM podem determinar se as ações de provisionamento do TPM exigem a presença física de um técnico de serviço para aprovar solicitações de alteração de estado do TPM durante o processo de inicialização.

O software anti-malware pode usar as medidas de inicialização do estado inicial do sistema operacional para provar a integridade de um computador que executa o Windows. Essas medidas incluem o lançamento do Hyper-V para testar que datacenters usando virtualização não estão executando hipervisores não confiáveis. Com o Desbloqueio pela rede do BitLocker, os administradores de TI podem enviar por push uma atualização sem a preocupação de que um computador está esperando a entrada do PIN.

O TPM tem diversas configurações de Política de Grupo que podem ser úteis em determinados cenários corporativos. Para obter mais informações, consulte Configurações da Política de Grupo do TPM.

Atestado de integridade de dispositivo

O atestado de integridade de dispositivo permite que as empresas tenham confiança nos componentes de hardware e software de um dispositivo gerenciado. Com o atestado de integridade do dispositivo, você pode configurar um servidor MDM para consultar um serviço de atestado de integridade que permite ou nega o acesso de um dispositivo gerenciado a um recurso seguro.

Alguns problemas de segurança que você pode marcar nos dispositivos incluem:

  • A Prevenção de Execução de Dados é compatível e está habilitada?
  • A Criptografia de Unidade de Disco BitLocker é compatível e está habilitada?
  • A Inicialização Segura é compatível e está habilitada?

Observação

O Windows dá suporte ao Atestado de Integridade do Dispositivo com o TPM 2.0. O TPM 2.0 requer firmware UEFI. Um dispositivo com BIOS herdado e TPM 2.0 não funcionará conforme o esperado.

Versões com suporte para atestado de integridade do dispositivo

Versão do TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 Sim >= ver 1607
TPM 2.0 Sim Sim Sim Sim Sim