Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье для ИТ-специалистов описывается, как управлять функцией блокировки доверенного платформенного модуля (TPM) в Windows.
Сведения о блокировке доверенного платформенного модуля
TPM блокирует себя, чтобы предотвратить незаконное изменение или вредоносные атаки. Блокировка доверенного платформенного модуля часто длится в течение переменной продолжительности времени или до отключения компьютера. Хотя TPM находится в режиме блокировки, он обычно возвращает сообщение об ошибке при получении команд, требующих значения авторизации. Одним из исключений является то, что TPM всегда позволяет владельцу по крайней мере одну попытку сбросить блокировку доверенного платформенного модуля, когда он находится в режиме блокировки.
Windows становится владельцем доверенного платформенного модуля при первой загрузке. По умолчанию Windows не сохраняет пароль владельца доверенного платформенного модуля.
В некоторых случаях ключи шифрования защищаются TPM, требуя допустимое значение авторизации для доступа к ключу. Распространенный пример — настройка шифрования диска BitLocker для использования предохранителя TPM и ПИН-ключа. В этом сценарии пользователь должен ввести правильный ПИН-код во время загрузки, чтобы получить доступ к ключу шифрования тома, защищенному TPM. Чтобы предотвратить обнаружение значений авторизации злоумышленниками или программным обеспечением, TPM реализуют логику защиты. Логика защиты предназначена для замедления или остановки ответов от доверенного платформенного модуля, если обнаруживает, что сущность может попытаться угадать значения авторизации.
TPM 2.0
Устройства TPM 2.0 имеют стандартизированное поведение блокировки, которое настраивает Windows. Устройства TPM 2.0 имеют максимальное пороговое значение счетчика и время восстановления. Windows настраивает максимальное число 32, а время восстановления — 10 минут. Эта конфигурация означает, что каждые 10 минут при включении работы без события счетчик уменьшается на 1.
Если доверенный платформенный модуль находится в режиме блокировки или медленно реагирует на команды, можно сбросить значение блокировки, выполнив следующие процедуры. Для сброса блокировки доверенного платформенного модуля требуется авторизация владельца доверенного платформенного модуля. Это значение больше не сохраняется по умолчанию, начиная с Windows 10 версии 1607 и выше.
TPM 1.2
Отраслевые стандарты группы доверенных вычислений (TCG) указывают, что производители TPM должны реализовать определенную логику защиты в микросхемах TPM 1.2 и TPM 2.0. Устройства TPM 1.2 реализуют различные механизмы защиты и поведение. Как правило, микросхеме доверенного платформенного модуля требуется экспоненциально больше времени, чтобы реагировать на отправку неверных значений авторизации в TPM. Некоторые микросхемы доверенного платформенного модуля могут не хранить неудачные попытки с течением времени. Другие микросхемы доверенного платформенного модуля могут хранить каждую неудачную попытку на неопределенный срок. Таким образом, некоторые пользователи могут столкнуться с более длительными задержками при неправильном вводе значения авторизации, отправляемого доверенному платформенного модуля. Эти задержки могут препятствовать использованию доверенного платформенного модуля в течение некоторого времени.
Сброс блокировки доверенного платформенного модуля с помощью MMC доверенного платформенного модуля
Примечание.
Эта процедура доступна только в том случае, если вы настроили Windows для сохранения пароля владельца доверенного платформенного модуля. По умолчанию этот пароль недоступен в Windows 10 начиная с версии 1607 и выше.
В следующей процедуре описаны действия по сбросу блокировки доверенного платформенного модуля с помощью mmC доверенного платформенного модуля.
Сброс блокировки доверенного платформенного модуля
Откройте консоль управления доверенного платформенного модуля (tpm.msc).
В области действия выберите Сброс блокировки доверенного платформенного модуля , чтобы запустить мастер сброса блокировки доверенного платформенного модуля.
Выберите один из следующих методов, чтобы ввести пароль владельца доверенного платформенного модуля:
Если вы сохранили пароль владельца доверенного
.tpmплатформенного модуля в файл, выберите У меня есть файл пароля владельца, а затем введите путь к файлу или нажмите кнопку Обзор , чтобы перейти к расположению файла.Если вы хотите вручную ввести пароль владельца доверенного платформенного модуля, выберите Я хочу ввести пароль владельца, а затем введите пароль в текстовом поле.
Примечание.
Если вы включили BitLocker и TPM одновременно и вы напечатали пароль восстановления BitLocker, когда вы включили BitLocker, возможно, с ним был напечатан пароль владельца доверенного платформенного модуля.
Использование групповая политика для управления параметрами блокировки доверенного платформенного модуля
Параметры TPM групповая политика в следующем списке находятся по адресу:
Конфигурация> компьютераАдминистративные шаблоны>Система>Службы доверенных платформенных модулей
Длительность блокировки Standard пользователей
Этот параметр политики позволяет управлять длительностью в минутах для подсчета ошибок авторизации обычных пользователей для команд доверенного платформенного модуля, требующих авторизации. Сбой авторизации возникает каждый раз, когда пользователь отправляет команду доверенному платформенного модуля и получает сообщение об ошибке, указывающее на сбой авторизации. Сбои авторизации, которые старше заданной длительности, игнорируются. Если количество команд доверенного платформенного платформенного модуля со сбоем авторизации в течение длительности блокировки равно пороговой, пользователь не может отправлять в TPM команды, требующие авторизации.
Standard пороговое значение блокировки для отдельных пользователей
Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для доверенного платформенного модуля для каждого пользователя. Это значение представляет собой максимальное число сбоев авторизации, которое может иметь каждый пользователь, прежде чем пользователю не будет разрешено отправлять в TPM команды, требующие авторизации. Если количество сбоев авторизации равно длительности, заданной для параметра политики, пользователю запрещается отправлять в TPM команды, требующие авторизации.
Standard пороговое значение блокировки общего числа пользователей
Этот параметр политики позволяет управлять максимальным числом сбоев авторизации доверенного платформенного модуля для всех стандартных пользователей. Если общее число сбоев авторизации для всех пользователей равно длительности, заданной для политики, всем пользователям запрещается отправлять в TPM команды, требующие авторизации.
Сведения о предотвращении атак словаря, использующих параметры блокировки, см. в статье Основы доверенного платформенного модуля.
Использование командлетов TPM
Можно управлять доверенным платформенным модулем с помощью Windows PowerShell. Дополнительные сведения см. в статье Командлеты доверенного платформенного модуля в Windows PowerShell.