Обзор технологии доверенного платформенного модуля
В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности. Раздел содержит ссылки на другие ресурсы о TPM.
Описание компонента
Технология доверенного платформенного модуля (TPM) предназначена для аппаратной защиты. Микросхема TPM — это надежный криптографический процессор, спроектированный для выполнения операций шифрования. Микросхема содержит несколько механизмов физической защиты, чтобы предотвратить взлом, и вредоносные программы не могут обойти функции безопасности TPM. Некоторые из основных преимуществ использования технологии TPM:
создание, сохранение и ограничение использования криптографических ключей;
технологию TPM можно использовать для проверки подлинности устройства с помощью уникального RSA-ключа TPM, записанного в модуль;
обеспечение целостности платформы за счет хранения измерений безопасности.
Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.
Ключи на основе TPM можно настраивать различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если число неудачных попыток авторизации слишком велико, TPM активирует свою логику защиты от атак перебором по словарю и предотвращает дальнейшие попытки подбора.
Разные версии TPM определены в спецификации организации TCG. Для получения дополнительных сведений посетите веб-сайт TCG (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).
Windows может автоматически подготовить и управлять модулем TPM. Можно настроить параметры групповой политики, чтобы контролировать создание резервной копии значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров. В зависимости от целей безопасности предприятия групповую политику можно настроить так, чтобы разрешить или запретить локальным администраторам сбрасывать логику защиты от атак перебором по словарю модуля TPM. Обычные пользователи могут применять TPM, но групповая политика ограничивает число ошибок авторизации, чтобы один пользователь не мог помешать другим пользователям или администратору применять TPM. Технологию TPM также можно использовать в качестве виртуальной смарт-карты и для безопасного хранения сертификатов. При использовании сетевой разблокировки BitLocker компьютеры, присоединенные к домену, запрашивают ПИН-код BitLocker.
Практическое применение
На компьютерах с TPM можно устанавливать и создавать сертификаты. После настройки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.
Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.
Антивредоносное ПО может использовать измеренные показатели загрузки операционной системы, чтобы подтвердить целостность компьютера с операционной системой Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 или Windows Server 2012. При этом запускается Hyper-V, чтобы убедиться, что центры обработки данных, использующие виртуализацию, не запускают недоверенные низкоуровневые оболочки. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.
В TPM есть ряд параметров групповой политики, которые можно использовать для управления его использованием. Их можно применять для управления значением авторизации владельца, заблокированными командами TPM, блокировкой обычных пользователей и архивацией данных TPM в службах AD DS. Дополнительные сведения см. в статье Параметры групповой политики служб доверенного платформенного модуля.
Новые и измененные функции
Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows 10 см. в разделе Что нового в доверенном платформенном модуле?
Аттестация работоспособности устройства
Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства.
На устройстве можно проверить следующее.
- Предотвращение выполнения данных поддерживается и включено?
- Шифрование диска BitLocker поддерживается и включено?
- Безопасная загрузка поддерживается и включена?
Примечание Устройство должно работать под управлением Windows 10 и должно поддерживать хотя бы TPM 2.0.
Поддерживаемые версии
| Версия TPM | Windows 10 | Windows Server 2012 R2, Windows 8.1 и Windows RT | Windows Server 2012, Windows 8 и Windows RT | Windows Server 2008 R2 и Windows 7 |
|---|---|---|---|---|
TPM 1.2 |
X |
X |
X |
X |
TPM 2.0 |
X |
X |
X |
X |
Дополнительные ресурсы
Параметры групповой политики TPM
Командлеты TPM в Windows PowerShell
Расширения схемы AD DS для поддержки резервного копирования TPM
Подготовка организации к использованию BitLocker: планирование и политики — конфигурации модуля TPM