本文面向 IT 专业人员介绍如何在 Windows 中管理受信任的平台模块 (TPM) 的锁定功能。
关于 TPM 锁定
TPM 会锁定自身以防止篡改或恶意攻击。 TPM 锁定通常持续可变时间或直到计算机关闭为止。 当 TPM 处于锁定模式时,它通常会在收到需要授权值的命令时返回错误消息。 一个例外是,当 TPM 处于锁定模式时,TPM 始终允许所有者至少尝试重置 TPM 锁定。
Windows 在首次启动时获取 TPM 所有权。 默认情况下,Windows 不保留 TPM 所有者密码。
在某些情况下,加密密钥通过要求有效的授权值来访问密钥,从而受到 TPM 的保护。 一个常见示例是将 BitLocker 驱动器加密配置为使用 TPM 加 PIN 密钥保护程序。 在这种情况下,用户必须在启动过程中键入正确的 PIN 才能访问受 TPM 保护的卷加密密钥。 为了防止恶意用户或软件发现授权值,TPM 实现了保护逻辑。 保护逻辑设计为在检测到实体可能正在尝试猜测授权值时减缓或停止来自 TPM 的响应。
TPM 2.0
TPM 2.0 设备具有 Windows 配置的标准化锁定行为。 TPM 2.0 设备具有最大计数阈值和修复时间。 Windows 将最大计数配置为 32,将修复时间配置为 10 分钟。 此配置意味着,每连续 10 分钟打开一次作(没有事件)会导致计数器减少 1。
如果 TPM 处于锁定模式或对命令的响应速度缓慢,则可以使用以下过程重置锁定值。 重置 TPM 锁定需要 TPM 所有者的授权。 从 Windows 10 版本 1607 及更高版本开始,默认情况下不再保留此值。
TPM 1.2
受信任计算组 (TCG) 的行业标准规定,TPM 制造商必须在 TPM 1.2 和 TPM 2.0 芯片中实现某种形式的保护逻辑。 TPM 1.2 设备实现不同的保护机制和行为。 通常,如果向 TPM 发送不正确的授权值,TPM 芯片的响应时间会呈指数级增长。 随着时间的推移,某些 TPM 芯片可能不会存储失败的尝试。 其他 TPM 芯片可能会无限期地存储每次失败的尝试。 因此,某些用户在错误键入发送到 TPM 的授权值时,可能会遇到越来越长时间的延迟。 这些延迟可能会阻止他们在一段时间内使用 TPM。
使用 TPM MMC 重置 TPM 锁定
注意
仅当已将 Windows 配置为保留 TPM 所有者密码时,此过程才可用。 默认情况下,此密码在从版本 1607 及更高版本开始的 Windows 10中不可用。
以下过程介绍了使用 TPM MMC 重置 TPM 锁定的步骤。
重置 TPM 锁定
打开 TPM MMC (tpm.msc) 。
在 “作 ”窗格中,选择“ 重置 TPM 锁定 ”以启动“重置 TPM 锁定向导”。
选择以下方法之一以输入 TPM 所有者密码:
如果将 TPM 所有者密码保存到文件
.tpm,请选择“ 我有所有者密码文件”,然后键入该文件的路径,或选择“ 浏览 ”导航到文件位置。如果要手动输入 TPM 所有者密码,请选择“ 我想输入所有者密码”,然后在提供的文本框中键入密码。
注意
如果同时启用了 BitLocker 和 TPM,并在打开 BitLocker 时打印了 BitLocker 恢复密码,则 TPM 所有者密码可能已随该密码一起打印。
使用组策略管理 TPM 锁定设置
以下列表中的 TPM 组策略设置位于:
计算机配置>管理模板>系统>受信任的平台模块服务
-
此策略设置允许管理需要授权的 TPM 命令的标准用户授权失败计数持续时间(以分钟为单位)。 每次用户向 TPM 发送命令并收到指示授权失败的错误消息时,都会发生授权失败。 将忽略早于所设置持续时间的授权失败。 如果在锁定持续时间内授权失败的 TPM 命令数等于阈值,则阻止用户向需要授权的 TPM 发送命令。
-
使用此策略设置,可以管理每个用户的 TPM 的最大授权失败次数。 此值是每个用户在不允许用户向需要授权的 TPM 发送命令之前可能具有的最大授权失败次数。 如果授权失败次数等于为策略设置设置的持续时间,则阻止用户向需要授权的 TPM 发送命令。
-
使用此策略设置,可以管理所有标准用户的 TPM 的最大授权失败次数。 如果所有用户的授权失败总数等于为策略设置的持续时间,则阻止所有用户向需要授权的 TPM 发送命令。
有关缓解使用锁定设置的字典攻击的信息,请参阅 TPM 基础知识。
使用 TPM cmdlet
可以使用 Windows PowerShell 管理 TPM。 有关详细信息,请参阅 Windows PowerShell 中的 TPM Cmdlet。