受信任的平台模块技术概述
本文介绍受信任的平台模块 (TPM) 以及 Windows 如何使用它进行访问控制和身份验证。
功能说明
受信任的平台模块 (TPM) 技术旨在提供基于硬件的安全相关功能。 TPM 芯片是一种安全的加密处理器,旨在执行加密操作。 该芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。 使用 TPM 技术的一些优点包括:
- 生成、存储和限制使用加密密钥。
- 使用 TPM 的唯一 RSA 密钥将其用于设备身份验证,该密钥已刻录到芯片中。
- 通过获取和存储启动过程的安全度量值,帮助确保平台完整性。
最常用的 TPM 功能用于系统完整性测量以及密钥创建和使用。 在系统启动过程中,可以在 TPM 中测量并记录加载的启动代码(包括固件和操作系统组件)。 完整性测量可以用作系统启动方式的证据,并可用于确保仅当正确的软件用于启动系统时,才使用基于 TPM 的密钥。
可以通过各种方式配置基于 TPM 的密钥。 一个选项是使基于 TPM 的密钥不可在 TPM 以外使用。 这是减少网络钓鱼攻击的好方法,因为它会阻止复制并使用没有 TPM 的密钥。 基于 TPM 的密钥还可以配置为需要授权值才可以使用它们。 如果发生过多不正确的授权猜测,TPM 会激活其字典攻击逻辑,并阻止进一步的授权值猜测。
按照受信任的计算组 (TCG) 的规范定义不同版本的 TPM。 有关详细信息,请参阅 TCG 网站。
Windows 版本和许可要求
下表列出了支持受信任的平台模块 (TPM) 的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
受信任的平台模块 (TPM) 许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
使用 Windows 自动初始化 TPM
从 Windows 10 和 Windows 11 开始,操作系统自动初始化 TPM 并取得其所有权。 这意味着在大多数情况下,我们建议你避免通过 TPM 管理控制台 TPM.msc 配置 TPM。 但也有少数例外,主要与在电脑上重置或执行干净安装有关。 有关详细信息,请参阅 从 TPM 中清除所有密钥。
注意
从 Windows Server 2019 和 Windows 10 版本 1809 开始,我们 不再主动开发 TPM 管理控制台。
在某些特定的企业版方案(仅限于 Windows 10 版本 1507 和 1511)中,可能会使用组策略在 Active Directory 中备份 TPM 所有者授权值。 由于 TPM 状态在整个操作系统安装期间保持不变,因此,该 TPM 信息将存储在独立于计算机对象的 Active Directory 中的某个位置。
实际应用程序
可以在要使用 TPM 的计算机上安装或创建证书。 预配计算机后,证书的 RSA 私钥将绑定到 TPM,无法导出。 TPM 还可用于替换智能卡,这会降低与创建和支付智能卡相关联的成本。
TPM 中的自动预配可降低企业中 TPM 部署的成本。 适用于 TPM 管理的新 API 可确定是否需要实际存在服务技术人员以同意启动过程中的 TPM 状态更改请求。
反恶意软件可以使用操作系统启动状态的启动度量值来证明运行 Windows 的计算机的完整性。 这些度量包括启动 Hyper-V,以测试使用虚拟化的数据中心是否未运行不受信任的虚拟机监控程序。 借助 BitLocker 网络解锁,IT 管理员可以推送更新而无需关注计算机是否在等待 PIN 项。
TPM 具有多个组策略设置,可适用于某些企业方案。 有关详细信息,请参阅 TPM 组策略设置。
设备运行状况证明
设备运行状况证明使企业能够根据托管设备的硬件和软件组件来建立信任。 使用设备健康证明,可以将 MDM 服务器配置为查询允许或拒绝托管设备访问安全资源的运行状况证明服务。
可以在设备上检查的一些安全问题包括:
- 数据执行保护是否受支持并已启用?
- BitLocker 驱动器加密是否受支持并已启用?
- SecureBoot 是否受支持并已启用?
注意
Windows 支持使用 TPM 2.0 进行设备运行状况证明。 TPM 2.0 需要 UEFI 固件。 具有旧版 BIOS 和 TPM 2.0 的设备无法按预期工作。
设备运行状况证明支持的版本
| TPM 版本 | Windows 11 | Windows 10 | Windows Server 2022 | Windows Server 2019 | Windows Server 2016 |
|---|---|---|---|---|---|
| TPM 1.2 | >= ver 1607 | 是 | >= ver 1607 | ||
| TPM 2.0 | 是 | 是 | 是 | 是 | 是 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈