Panoramica della tecnologia Trusted Platform Module

Questo articolo descrive il modulo TPM (Trusted Platform Module) e il modo in cui Windows lo usa per il controllo di accesso e l'autenticazione.

Descrizione delle caratteristiche

La tecnologia TPM (Trusted Platform Module) è progettata per fornire funzioni relative alla sicurezza basate su hardware. Un chip TPM è un processore di crittografia sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisici per renderlo resistente alle manomissioni. Un software dannoso non è in grado di manomettere le funzioni di sicurezza del TPM. Alcuni dei vantaggi dell'uso della tecnologia TPM sono:

  • Generare, archiviare e limitare l'uso di chiavi di crittografia
  • Usarlo per l'autenticazione del dispositivo usando la chiave RSA univoca del TPM, che viene masterizzata nel chip
  • Contribuire a garantire l'integrità della piattaforma eseguendo e archiviando le misure di sicurezza del processo di avvio

Le funzioni TPM più comuni sono usate per le misurazioni dell'integrità del sistema e per la creazione e l'uso delle chiavi. Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM. Le misurazioni dell'integrità possono essere usate come prova della modalità di avvio di un sistema e per garantire che venga usata una chiave basata sul TPM solo quando viene usato il software corretto per avviare il sistema.

Le chiavi basate sul TPM possono essere configurate in diversi modi. Un'opzione consiste nel non rendere disponibile la chiave basata sul TPM all'esterno del TPM. Questa configurazione è consigliabile per contrastare gli attacchi di phishing perché impedisce la copia della chiave e il conseguente uso senza il TPM. L'uso delle chiavi basate sul TPM può inoltre essere configurate in modo che venga richiesto un valore di autorizzazione. Se si verifica un numero eccessivo di tentativi di autorizzazione errati, il TPM attiverà la propria logica di attacco con dizionario e impedirà ulteriori tentativi di autorizzazione.

Le specifiche delle varie versioni del TPM sono definite da Trusted Computing Group (TCG). Per altre informazioni, vedere il sito Web TCG.

Inizializzazione automatica del TPM con Windows

A partire da Windows 10 e Windows 11, il sistema operativo inizializza e assume automaticamente la proprietà del TPM. Ciò significa che nella maggior parte dei casi, è consigliabile evitare di configurare il TPM mediante la console di gestione del TPM, TPM.msc. Esistono alcune eccezioni, riguardanti principalmente la reimpostazione o l'esecuzione di un'installazione pulita in un PC. Per ulteriori informazioni, vedi Deselezionare tutte le chiavi dal TPM. Non stiamo più sviluppando attivamente la console di gestione TPM a partire da Windows Server 2019 e Windows 10, versione 1809.

In alcuni scenari specifici dell'organizzazione limitati a Windows 10, versione 1507 e 1511, i Criteri di gruppo potrebbero essere utilizzati per eseguire il backup del valore di autorizzazione del proprietario del TPM in Active Directory. Poiché lo stato del TPM viene conservato tra le installazioni dei sistemi operativi, queste informazioni sul TPM sono archiviate in un percorso in Active Directory diverso rispetto a quello degli oggetti computer.

Applicazioni pratiche

I certificati possono essere installati o creati nei computer che usano il TPM. Dopo il provisioning di un computer, la chiave privata RSA per un certificato è associata al TPM e non può essere esportata. Il TPM può essere usato anche in sostituzione di smart card e ciò consente di ridurre i costi associati alla creazione e all'acquisto di smart card.

Il provisioning automatico nel TPM riduce il costo della distribuzione del TPM in un'organizzazione. Le nuove API per la gestione del TPM possono determinare se le azioni di provisioning del TPM richiedono la presenza fisica di un tecnico per approvare richieste di modifica dello stato del TPM durante il processo di avvio.

Il software antimalware può usare le misure di avvio dello stato di avvio del sistema operativo per dimostrare l'integrità di un computer che esegue Windows 10 o Windows 11 o Windows Server 2016. Queste misurazioni includono l'avvio di Hyper-V per verificare che i data center che usano la virtualizzazione non eseguano hypervisor non attendibili. La funzionalità di sblocco di rete via BitLocker consente agli amministratori IT di inviare un aggiornamento senza preoccuparsi che un computer stia attendendo l'immissione del PIN.

Il TPM dispone di diverse impostazioni di Criteri di gruppo che potrebbero essere utili in alcuni scenari aziendali. Per altre info, vedi Impostazioni di Criteri di gruppo per TPM.

Funzionalità nuove e modificate

Per altre info sulle funzionalità nuove e modificate per Trusted Platform Module in Windows, vedi Cosa c’è di nuovo in Trusted Platform Module?

Attestazione dell'integrità del dispositivo

L'attestazione dell'integrità dei dispositivi consente alle aziende di stabilire il livello di affidabilità basato su componenti hardware e software di un dispositivo gestito. Grazie all'attestazione della integrità dei dispositivi puoi configurare un server MDM per eseguire una query su un servizio di attestazione dell'integrità che consenta o neghi l'accesso a una risorsa protetta da parte di un dispositivo gestito.

Alcuni problemi di sicurezza che è possibile controllare nel dispositivo includono quanto segue:

  • La funzionalità Protezione esecuzione programmi è supportata e abilitata?
  • La funzionalità Crittografia unità BitLocker è supportata e abilitata?
  • La funzionalità SecureBoot è supportata e abilitata?

Nota

Windows supporta l'attestazione dell'integrità dei dispositivi con TPM 2.0. TPM 2.0 richiede il firmware UEFI. Un dispositivo con BIOS legacy e TPM 2.0 non funzionerà come previsto.

Versioni supportate per l'attestazione dell'integrità dei dispositivi

Versione TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0