Condividi tramite


Panoramica della tecnologia Trusted Platform Module

Questo articolo descrive il modulo TPM (Trusted Platform Module) e il modo in cui Windows lo usa per il controllo di accesso e l'autenticazione.

Descrizione delle caratteristiche

La tecnologia TPM (Trusted Platform Module) è progettata per fornire funzioni relative alla sicurezza basate su hardware. Un chip TPM è un processore di crittografia sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisici per renderlo resistente alle manomissioni. Un software dannoso non è in grado di manomettere le funzioni di sicurezza del TPM. Alcuni dei vantaggi dell'uso della tecnologia TPM sono:

  • Generare, archiviare e limitare l'uso di chiavi di crittografia.
  • Usarlo per l'autenticazione del dispositivo usando la chiave RSA univoca del TPM, che viene masterizzata nel chip.
  • Contribuire a garantire l'integrità della piattaforma eseguendo e archiviando le misure di sicurezza del processo di avvio.

Le funzioni TPM più comuni sono usate per le misurazioni dell'integrità del sistema e per la creazione e l'uso delle chiavi. Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM. Le misurazioni dell'integrità possono essere usate come prova della modalità di avvio di un sistema e per garantire che venga usata una chiave basata sul TPM solo quando viene usato il software corretto per avviare il sistema.

Le chiavi basate su TPM possono essere configurate in vari modi. Un'opzione consiste nel non rendere disponibile la chiave basata sul TPM all'esterno del TPM. Questa configurazione è consigliabile per contrastare gli attacchi di phishing perché impedisce la copia della chiave e il conseguente uso senza il TPM. L'uso delle chiavi basate sul TPM può inoltre essere configurate in modo che venga richiesto un valore di autorizzazione. Se si verificano troppi tentativi di autorizzazione non corretti, il TPM attiva la logica di attacco del dizionario e impedisce ulteriori ipotesi di valore di autorizzazione.

Le specifiche delle varie versioni del TPM sono definite da Trusted Computing Group (TCG). Per altre informazioni, vedere il sito Web TCG.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano TPM (Trusted Platform Module):

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza TPM (Trusted Platform Module) sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Inizializzazione automatica del TPM con Windows

A partire da Windows 10 e Windows 11, il sistema operativo inizializza e assume automaticamente la proprietà del TPM. Ciò significa che nella maggior parte dei casi, è consigliabile evitare di configurare il TPM mediante la console di gestione del TPM, TPM.msc. Esistono alcune eccezioni, riguardanti principalmente la reimpostazione o l'esecuzione di un'installazione pulita in un PC. Per ulteriori informazioni, vedi Deselezionare tutte le chiavi dal TPM.

Nota

Non stiamo più sviluppando attivamente la console di gestione TPM a partire da Windows Server 2019 e Windows 10, versione 1809.

In alcuni scenari specifici dell'organizzazione limitati a Windows 10, versione 1507 e 1511, i Criteri di gruppo potrebbero essere utilizzati per eseguire il backup del valore di autorizzazione del proprietario del TPM in Active Directory. Poiché lo stato del TPM viene conservato tra le installazioni dei sistemi operativi, queste informazioni sul TPM sono archiviate in un percorso in Active Directory diverso rispetto a quello degli oggetti computer.

Applicazioni pratiche

I certificati possono essere installati o creati nei computer che usano il TPM. Dopo il provisioning di un computer, la chiave privata RSA per un certificato è associata al TPM e non può essere esportata. Il TPM può essere usato anche in sostituzione di smart card e ciò consente di ridurre i costi associati alla creazione e all'acquisto di smart card.

Il provisioning automatico nel TPM riduce il costo della distribuzione del TPM in un'organizzazione. Le nuove API per la gestione del TPM possono determinare se le azioni di provisioning del TPM richiedono la presenza fisica di un tecnico per approvare richieste di modifica dello stato del TPM durante il processo di avvio.

Il software antimalware può usare le misurazioni di avvio dello stato di avvio del sistema operativo per dimostrare l'integrità di un computer che esegue Windows. Queste misurazioni includono l'avvio di Hyper-V per verificare che i data center che usano la virtualizzazione non eseguano hypervisor non attendibili. La funzionalità di sblocco di rete via BitLocker consente agli amministratori IT di inviare un aggiornamento senza preoccuparsi che un computer stia attendendo l'immissione del PIN.

Il TPM dispone di diverse impostazioni di Criteri di gruppo che potrebbero essere utili in alcuni scenari aziendali. Per altre info, vedi Impostazioni di Criteri di gruppo per TPM.

Attestazione dell'integrità dei dispositivi

L'attestazione dell'integrità dei dispositivi consente alle aziende di stabilire il livello di affidabilità basato su componenti hardware e software di un dispositivo gestito. Con l'attestazione di integrità del dispositivo, è possibile configurare un server MDM per eseguire query su un servizio di attestazione dell'integrità che consente o nega a un dispositivo gestito l'accesso a una risorsa sicura.

Alcuni problemi di sicurezza che è possibile controllare nei dispositivi includono:

  • La funzionalità Protezione esecuzione programmi è supportata e abilitata?
  • La funzionalità Crittografia unità BitLocker è supportata e abilitata?
  • La funzionalità SecureBoot è supportata e abilitata?

Nota

Windows supporta l'attestazione dell'integrità dei dispositivi con TPM 2.0. TPM 2.0 richiede il firmware UEFI. Un dispositivo con BIOS legacy e TPM 2.0 non funzionerà come previsto.

Versioni supportate per l'attestazione dell'integrità dei dispositivi

Versione TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0