信賴平台模組技術概觀
本主題適用於 IT 專業人員,說明「信賴平台模組」(TPM) 及 Windows 如何使用它來進行存取控制和驗證。本主題提供 TPM 的其他相關資源連結。
功能描述
「信賴平台模組」(TPM) 技術的設計目的是要提供以硬體為基礎的安全性相關功能。TPM 晶片是安全的密碼編譯處理器,其設計目的是執行密碼編譯操作。此晶片包含多個實體安全性機制,使它具備防竄改功能,在 TPM 安全性功能的加持下,惡意程式碼軟體便無法進行竄改。使用 TPM 技術的一些主要優點是您可以:
產生、儲存密碼編譯金鑰及限制此金鑰的使用。
藉由使用 TPM 的唯一 RSA 金鑰 (已燒錄至其本身),使用 TPM 技術進行平台裝置驗證。
藉由進行和儲存安全性測量,協助確保平台完整性。
最常見的 TPM 功能是用於系統完整性測量及金鑰的建立與使用。在系統開機程序期間,可以測量載入的開機程式碼 (包括韌體和作業系統元件) 並記錄在 TPM 中。完整性測量可用來證明系統的啟動情況,以及確保只有在使用正確軟體來進行系統開機的情況下,才會使用 TPM 型金鑰。
TPM 型金鑰有許多不同的設定方式。其中一個選項是讓 TPM 型金鑰無法在 TPM 外部使用。這可以有效降低網路釣魚攻擊,因為它會防止金鑰在沒有 TPM 的情況下被複製及使用。TPM 型金鑰也可以設定成需要授權值才能使用。如果發生太多次不正確的授權猜測,TPM 將會啟用其字典攻擊邏輯,並防止進一步的授權值猜測。
不同的 TPM 版本皆由「信賴運算群組」(TCG) 定義在規範中。如需詳細資訊,請參閱 TCG 網站 (http://www.trustedcomputinggroup.org/developers/trusted_platform_module)。
Windows 可以自動佈建和管理 TPM。「群組原則」設定可被設定來控制是否要將 TPM 擁有者授權值備份在 Active Directory 中。由於 TPM 狀態會跨作業系統安裝持續存在,因此 TPM 資訊會儲存在 Active Directory 中與電腦物件不同的位置。視企業的安全性目標而定,可以將「群組原則」設定成允許或禁止本機系統管理員重設 TPM 的字典攻擊邏輯。標準使用者可以使用 TPM,但「群組原則」可以控制來限制標準使用者可嘗試的授權失敗次數,讓一位使用者無法防止其他使用者或系統管理員使用 TPM。TPM 技術也可以用來做為虛擬智慧卡,以及做為安全憑證存放區。使用「BitLocker 網路解除鎖定」時,加入網域的電腦不會被提示輸入 BitLocker PIN。
實際應用
在使用 TPM 的電腦上,可以安裝或建立憑證。佈建電腦之後,憑證的 RSA 私密金鑰會繫結到 TPM 且不能匯出。TPM 也可以用來取代智慧卡,這樣可以減少智慧卡的相關製造和支付成本。
TPM 中的自動化佈建可降低企業中的 TPM 部署成本。新的 TPM 管理 API 可以判斷在開機程序期間,TPM 佈建動作是否需要服務技術人員實體操作來核准 TPM 狀態變更要求。
反惡意程式碼軟體可以使用作業系統啟動狀態的開機測量來證明執行 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 之電腦的完整性。這些測量包括啟動 Hyper-V 來測試使用虛擬化的資料中心並未執行不受信任的 Hypervisor。使用「BitLocker 網路解除鎖定」時,IT 系統管理員可以推播更新,而不需顧慮電腦正在等待輸入 PIN。
TPM 有數個可用來管理其使用方式的「群組原則」設定。這些設定可用來管理擁有者授權值、已封鎖的 TPM 命令、標準使用者鎖定,以及備份到 AD DS 的 TPM。如需詳細資訊,請參閱可信賴平台模組服務原則設定。
新功能和變更的功能
如需 Windows 10 中信賴平台模組新功能和變更之功能的詳細資訊,請參閱信賴平台模組有哪些新功能?。
裝置健康情況證明
裝置健康情況證明可讓企業依據受管理裝置的硬體和軟體元件建立信賴關係。有了裝置健康情況證明,您便可以設定 MDM 伺服器來查詢健康情況證明服務,此服務將會允許或拒絕受管理裝置存取安全的資源。
您可以在裝置上檢查的一些項目是:
- 是否支援並啟用資料執行防止?
- 是否支援並啟用 BitLocker 磁碟機加密?
- 是否支援並啟用安全開機?
注意 裝置必須執行 Windows 10,且必須至少支援 TPM 2.0。
支援版本
| TPM 版本 | Windows 10 | Windows Server 2012 R2、Windows 8.1 及 Windows RT | Windows Server 2012、Windows 8 及 Windows RT | Windows Server 2008 R2 與 Windows 7 |
|---|---|---|---|---|
TPM 1.2 |
X |
X |
X |
X |
TPM 2.0 |
X |
X |
X |
X |