Обзор технологии доверенного платформенного модуля

В этой статье описывается доверенный платформенный модуль (TPM) и его использование в Windows для управления доступом и проверки подлинности.

Описание компонента

Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптографический процессор, предназначенный для выполнения криптографических операций. Микросхема имеет несколько физических механизмов обеспечения безопасности, которые делают ее устойчивой к несанкционированному вмешательству, и вредоносное программное обеспечение не может взломать функции безопасности TPM. Ниже приведены некоторые преимущества использования технологии доверенного платформенного платформенного модуля.

  • создание, сохранение и ограничение использования криптографических ключей;
  • Используйте его для проверки подлинности устройства с помощью уникального ключа RSA доверенного платформенного модуля, который сгорает в микросхему.
  • Помогите обеспечить целостность платформы, принимая и сохраняя измерения безопасности процесса загрузки.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.

Ключи на основе доверенного платформенного модуля можно настроить различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если происходит слишком много неправильных предположений авторизации, доверенный платформенный модуль активирует логику атаки словаря и предотвращает дальнейшие угадки значений авторизации.

Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие доверенный платформенный модуль (TPM):

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии доверенного платформенного модуля (TPM) предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Автоматическая инициализация TPM в Windows

Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.

В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.

Практическое применение

На компьютерах с TPM можно устанавливать и создавать сертификаты. После подготовки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.

Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.

Программное обеспечение для защиты от вредоносных программ может использовать загрузочные измерения состояния запуска операционной системы, чтобы доказать целостность компьютера под управлением Windows. Эти измерения включают запуск Hyper-V для проверки того, что центры обработки данных, использующие виртуализацию, не работают с ненадежными гипервизорами. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.

В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.

Аттестация работоспособности устройства

Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации тепла устройства можно настроить сервер MDM для запроса службы аттестации работоспособности, которая разрешает или запрещает управляемому устройству доступ к защищенному ресурсу.

Некоторые проблемы безопасности, которые можно проверка на устройствах:

  • Предотвращение выполнения данных поддерживается и включено?
  • Шифрование диска BitLocker поддерживается и включено?
  • Безопасная загрузка поддерживается и включена?

Примечание.

Windows поддерживает аттестацию работоспособности устройств с TPM 2.0. Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Устройство с устаревшей версией BIOS и TPM 2.0 не будет работать должным образом.

Поддерживаемые версии для подтверждения работоспособности устройства

Версия TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= версия 1607 Да >= версия 1607
TPM 2.0 Да Да Да Да Да