Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo para profissionais de TI descreve como gerir a funcionalidade de bloqueio do Trusted Platform Module (TPM) no Windows.
Acerca do bloqueio do TPM
O TPM bloqueia-se automaticamente para evitar adulterações ou ataques maliciosos. O bloqueio do TPM dura frequentemente um período de tempo variável ou até o computador estar desativado. Enquanto o TPM está no modo de bloqueio, geralmente devolve uma mensagem de erro quando recebe comandos que requerem um valor de autorização. Uma exceção é que o TPM permite sempre ao proprietário, pelo menos, uma tentativa de repor o bloqueio do TPM quando está no modo de bloqueio.
O Windows assume a propriedade do TPM no primeiro arranque. Por predefinição, o Windows não retém a palavra-passe do proprietário do TPM.
Em alguns casos, as chaves de encriptação são protegidas por um TPM ao exigir um valor de autorização válido para aceder à chave. Um exemplo comum é configurar a Encriptação de Unidade BitLocker para utilizar o protetor de chave TPM mais PIN. Neste cenário, o utilizador tem de escrever o PIN correto durante o processo de arranque para aceder à chave de encriptação de volume protegida pelo TPM. Para impedir que utilizadores maliciosos ou software detetem valores de autorização, os TPMs implementam a lógica de proteção. A lógica de proteção foi concebida para abrandar ou parar as respostas do TPM se detetar que uma entidade pode estar a tentar adivinhar valores de autorização.
TPM 2.0
Os dispositivos TPM 2.0 têm um comportamento de bloqueio padronizado configurado pelo Windows. Os dispositivos TPM 2.0 têm um limiar máximo de contagem e um tempo de recuperação. O Windows configura a contagem máxima para 32 e o tempo de recuperação é de 10 minutos. Esta configuração significa que a cada 10 minutos contínuos de operação ativada sem um evento faz com que o contador diminua em 1.
Se o TPM estiver no modo de bloqueio ou estiver a responder lentamente aos comandos, pode repor o valor de bloqueio através dos seguintes procedimentos. A reposição do bloqueio do TPM requer a autorização do proprietário do TPM. Este valor já não é retido por predefinição a partir do Windows 10 versão 1607 e superior.
TPM 1.2
As normas da indústria do Trusted Computing Group (TCG) especificam que os fabricantes de TPM têm de implementar alguma forma de lógica de proteção em chips TPM 1.2 e TPM 2.0. Os dispositivos TPM 1.2 implementam diferentes mecanismos de proteção e comportamento. Em geral, o chip TPM demora exponencialmente mais tempo a responder se forem enviados valores de autorização incorretos para o TPM. Alguns chips TPM podem não armazenar tentativas falhadas ao longo do tempo. Outros chips TPM podem armazenar todas as tentativas falhadas indefinidamente. Por conseguinte, alguns utilizadores podem deparar-se com atrasos cada vez mais longos quando introduzem incorretamente um valor de autorização que é enviado para o TPM. Estes atrasos podem impedi-los de utilizar o TPM durante algum tempo.
Repor o bloqueio do TPM com o MMC do TPM
Observação
Este procedimento só está disponível se tiver configurado o Windows para manter a Palavra-passe do Proprietário do TPM. Por predefinição, esta palavra-passe não está disponível no Windows 10 a partir da versão 1607 e superior.
O procedimento seguinte explica os passos para repor o bloqueio do TPM com o MMC do TPM.
Repor o bloqueio do TPM
Abra o MMC do TPM (tpm.msc).
No painel Ação , selecione Repor Bloqueio do TPM para iniciar o Assistente para Repor Bloqueio do TPM.
Escolha um dos seguintes métodos para introduzir a palavra-passe do proprietário do TPM:
Se guardou a palavra-passe do proprietário do TPM num
.tpmficheiro, selecione Tenho o ficheiro de palavra-passe do proprietário e, em seguida, escreva o caminho para o ficheiro ou selecione Procurar para navegar para a localização do ficheiro.Se quiser introduzir manualmente a palavra-passe do proprietário do TPM, selecione Pretendo introduzir a palavra-passe do proprietário e, em seguida, escreva a palavra-passe na caixa de texto fornecida.
Observação
Se ativou o BitLocker e o TPM ao mesmo tempo e imprimiu a palavra-passe de recuperação bitLocker quando ativou o BitLocker, a palavra-passe do proprietário do TPM poderá ter sido impressa com a mesma.
Utilizar Política de Grupo para gerir as definições de bloqueio do TPM
As definições de Política de Grupo do TPM na lista seguinte estão localizadas em:
Configuração do> ComputadorModelos Administrativos>Sistema>Trusted Platform Module Services
Duração do Bloqueio de Utilizador Standard
Esta definição de política permite-lhe gerir a duração em minutos para contar falhas de autorização de utilizador padrão para comandos TPM que requerem autorização. Ocorre uma falha de autorização sempre que um utilizador envia um comando para o TPM e recebe uma mensagem de erro que indica que ocorreu uma falha de autorização. As falhas de autorização mais antigas do que a duração definida são ignoradas. Se o número de comandos TPM com uma falha de autorização dentro da duração do bloqueio for igual a um limiar, o utilizador será impedido de enviar comandos para o TPM que necessitam de autorização.
Standard Limiar de Bloqueio Individual do Utilizador
Esta definição de política permite-lhe gerir o número máximo de falhas de autorização do TPM para cada utilizador. Este valor é o número máximo de falhas de autorização que cada utilizador pode ter antes de o utilizador não ter permissão para enviar comandos para o TPM que requerem autorização. Se o número de falhas de autorização for igual à duração definida para a definição de política, o utilizador será impedido de enviar comandos para o TPM que necessitam de autorização.
Standard Limiar de Bloqueio Total do Utilizador
Esta definição de política permite-lhe gerir o número máximo de falhas de autorização do TPM para todos os utilizadores padrão. Se o número total de falhas de autorização para todos os utilizadores for igual à duração definida para a política, todos os utilizadores serão impedidos de enviar comandos para o TPM que necessitam de autorização.
Para obter informações sobre a mitigação de ataques de dicionário que utilizam as definições de bloqueio, veja Noções básicas do TPM.
Usar os cmdlets do TPM
Você pode gerenciar o TPM usando Windows PowerShell. Para obter detalhes, consulte Cmdlets do TPM no Windows PowerShell.