Trusted Platform Module – Technologieübersicht

Artikel
04/01/2016

In diesem Thema für IT-Experten wird das Trusted Platform Module (TPM) beschrieben. Außerdem wird erläutert, wie es von Windows für die Zugriffssteuerung und Authentifizierung verwendet wird. Das Thema enthält Links zu anderen Ressourcen zum TPM.

Featurebeschreibung

Trusted Platform Module (TPM)-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der für die Ausführung kryptografischer Vorgänge ausgelegt ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die Sicherheitsfunktionen des TPMs zu manipulieren. Die wichtigsten Vorteile der TPM-Technologie bestehen in ihren Möglichkeiten. Sie können:

Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.
TPM-Technologie für die Plattformgeräteauthentifizierung nutzen. Sie verwenden dazu den eindeutigen RSA-Schlüssel des TPMs, der in sich selbst geschrieben ist.
Plattformintegrität gewährleisten, indem Sicherheitsmessungen vorgenommen und gespeichert werden.

Die häufigsten TPM-Funktionen werden für Messungen der Systemintegrität sowie für die Erstellung und Verwendung von Schlüsseln verwendet. Während des Systemstarts kann der geladene Startcode (einschließlich Firmware- und Betriebssystemkomponenten) gemessen und im TPM aufgezeichnet werden. Mithilfe der Integritätsmessungen kann nachgewiesen werden, wie ein System gestartet wurde. Darüber hinaus stellen sie sicher, dass ein TPM-basierter Schlüssel erst verwendet wurde, nachdem das System mit der richtigen Software gestartet wurde.

TPM-basierte Schlüssel können auf verschiedene Weisen konfiguriert werden. Beispielsweise können Sie dafür sorgen, dass ein TPM-basierter Schlüssel nicht außerhalb des TPMs verfügbar ist. Auf diese Weise lassen sich Phishingangriffe verringern, da der Schlüssel nicht ohne das TPM kopiert und verwendet wird. TPM-basierte Schlüssel können auch so konfiguriert werden, dass zu ihrer Verwendung ein Autorisierungswert erforderlich ist. Wenn der Autorisierungswert zu häufig falsch geraten wird, aktiviert das TPM seine Logik gegen Wörterbuchangriffe und verhindert, dass weiter versucht wird, den Autorisierungswert zu erraten.

In den Spezifikationen der Trusted Computing Group (TCG) sind unterschiedliche TPM-Versionen definiert. Weitere Informationen finden Sie auf der TCG-Website (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).

Windows kann das TPM automatisch bereitstellen und verwalten. Um zu steuern, ob der TPM-Besitzerautorisierungswert in Active Directory gesichert wird, können Gruppenrichtlinieneinstellungen konfiguriert werden. Da der TPM-Zustand über Betriebssysteminstallationen hinweg erhalten bleibt, werden TPM-Informationen an einem von Computerobjekten getrennten Speicherort in Active Directory gespeichert. Abhängig von den Sicherheitszielen eines Unternehmens kann die Gruppenrichtlinie bei entsprechender Konfiguration zulassen oder verhindern, dass lokale Administratoren die TPM-Logik gegen Wörterbuchangriffe zurücksetzen. Standardbenutzer können das TPM zwar verwenden, die Gruppenrichtlinie steuert jedoch, wie viele falsche Autorisierungsversuche Standardbenutzer unternehmen können. Auf diese Weise kann ein Benutzer nicht verhindern, dass andere Benutzer oder der Administrator das TPM verwenden. TPM-Technologie kann auch als virtuelle Smartcard und zur Gewährleistung eines sicheren Zertifikatspeichers verwendet werden. Mit der BitLocker-Netzwerkentsperrung wird von Computern, die der Domäne angehören, keine BitLocker-PIN angefordert.

Praktische Anwendungsfälle

Zertifikate können auf Computern installiert oder erstellt werden, die das TPM verwenden. Nachdem ein Computer bereitgestellt wurde, wird der private RSA-Schlüssel für ein Zertifikat an das TPM gebunden und kann nicht exportiert werden. Das TPM kann auch als Ersatz für Smartcards verwendet werden, wodurch die Kosten im Zusammenhang mit der Erstellung und Auszahlung von Smartcards reduziert werden.

Die automatische Bereitstellung im TPM reduziert die Kosten der TPM-Bereitstellung in einem Unternehmen. Neue APIs für die TPM-Verwaltung können bestimmen, ob für TPM-Bereitstellungsaktionen die physische Anwesenheit eines Servicetechnikers erforderlich ist, um während des Startvorgangs Anforderungen zur Änderung des TPM-Zustands zu genehmigen.

Antischadsoftware kann den beim Start des Betriebssystems gemessenen Zustand nutzen, um die Integrität eines Computers unter Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 oder Windows Server 2012 zu bestätigen. Die Messungen umfassen den Start von Hyper-V, um sicherzustellen, dass in Rechenzentren, in denen Virtualisierung verwendet wird, keine nicht vertrauenswürdigen Hypervisoren ausgeführt werden. Mit der BitLocker-Netzwerkentsperrung können IT-Administratoren ein Pushupdate ausführen, ohne dass auf einem Computer eine PIN-Eingabe erforderlich ist.

Das TPM verfügt über verschiedene Gruppenrichtlinieneinstellungen, mit denen dessen Verwendung verwaltet werden kann. Mit diesen Einstellungen können der Besitzerautorisierungswert, die blockierten TPM-Befehle, die Standardbenutzersperre und die Sicherung das TPMs in AD DS verwaltet werden. Weitere Informationen finden Sie unter Gruppenrichtlinieneinstellungen für Trusted Platform Module-Dienste.

Neue und geänderte Funktionen

Weitere Infos zu neuen und geänderten TPM (Trusted Platform Module)-Funktionen in Windows 10 finden Sie unter Neues im Trusted Platform Module.

Nachweis über Geräteintegrität

Durch den Nachweis der Geräteintegrität können Unternehmen eine Vertrauensstellung basierend auf Hardware- und Softwarekomponenten eines verwalteten Geräts herstellen. Mit dem Nachweis der Geräteintegrität können Sie einen MDM-Server für die Abfrage eines Integritätsnachweisdiensts konfigurieren, der den Zugriff eines verwalteten Geräts auf eine sichere Ressource zulässt oder verweigert.

Folgendes können Sie für das Gerät überprüfen: