TPM 建議
本主題提供適用於 Windows 的信賴平臺模組 (TPM) 技術的建議。
如需 TPM 的基本功能描述,請參閱信賴平台模組技術概觀。
TPM 設計和實作
傳統上,TPM 是計算機主機板的離散晶元。 這類實作可讓計算機的原始設備製造商 (OEM) 評估及認證與系統其餘部分分開的 TPM。 離散 TPM 實作很常見。 不過,對於小型或低耗電量的整合式裝置而言,可能會有問題。 某些較新的 TPM 實作會將 TPM 功能整合到與其他平台元件相同的晶片組上,同時仍提供類似特定 TPM 晶片的邏輯分離。
TPM 是被動的︰它們會接收命令並傳回回應。 為了充分實現 TPM 的優點,OEM 必須謹慎地將系統硬體和韌體與 TPM 整合,以便傳送命令給它並回應它的回應。 TPM 原本是設計來為平臺的擁有者和使用者提供安全性和隱私權權益,但較新的版本可以為系統硬體本身提供安全性和隱私權權益。 不過,必須先佈建 TPM,才能將它用於進階案例。 Windows 會自動布建 TPM,但如果使用者打算重新安裝操作系統,則可能需要先清除 TPM 再重新安裝,Windows 才能充分利用 TPM。
信賴運算群組 (TCG) 是一個非營利組織,該組織會發佈和維護 TPM 規格。 TCG 的存在可開發、定義及提升廠商中性、全球業界標準。 這些標準支援可互操作信任運算平台的硬體型信任根目錄。 TCG 也會使用公共可用規格提交程序發佈 TPM 規格做為國際標準 ISO/IEC 11889,此程序是由聯合技術委員會 1 在國際標準組織 (ISO) 和國際電子電機委員會 (IEC) 之間所定義。
OEM 會在像電腦、平板電腦或行動電話等信賴運算平台上,以元件形式實作 TPM。 信賴運算平台會使用 TPM,來支援軟體無法單獨達到的隱私權和安全性狀況。 例如,軟體本身無法可靠地報告惡意程式碼是否出現在系統啟動程序中。 TPM 與平台之間的緊密整合可提高啟動程序的透明度,並藉由讓對啟動裝置的軟體進行可靠測量及報告來支援評估裝置健康情況。 實作 TPM 作為受信任運算平臺的一部分,可提供信任的硬體根目錄,也就是它以受信任的方式運作。 例如,如果儲存於 TPM 中的金鑰具有不允許匯出金鑰的屬性,則該金鑰就無法真正地離開 TPM。
TCG 將 TPM 設計為低成本且符合大眾市場的安全性解決方案,可處理不同客戶區隔的需求。 就像不同行業會有不同的客戶和法規需求,不同的 TPM 實作也會有不同的安全性屬性。 例如,在公共部門的採購中,有些機關會明確定義 TPM 的安全性需求,有些則未定義。
TPM 1.2 與 2.0 的比較
從業界標準來看,Microsoft 在推動與標準化 TPM 2.0 上已是業界先驅,在演算法、密碼編譯、階層、根金鑰、授權及 NV RAM 方面擁有許多關鍵性實現優點。
為什麼使用 TPM 2.0?
TPM 2.0 產品與系統擁有優於 TPM 1.2 的安全性優點,包括:
- TPM 1.2 規格僅允許使用 RSA 與 SHA-1 雜湊演算法。
- 基於安全性考量,某些機構已不使用 SHA-1。 值得注意的是,自 2014 年開始 NIST 已要求許多聯邦單位改用 SHA-256,而科技龍頭 (包括Microsoft 與 Google) 已經宣布將於 2017 年移除 SHA-1 式簽署或憑證的支援。
- 藉由更具彈性的密碼編譯演算法,TPM 2.0 可提供更大的密碼編譯靈敏度。
- TPM 2.0 支援較新的演算法,可改善磁碟機簽章以及產生金鑰效能。 如需支援演算法的完整清單,請參閱 TCG 演算法登錄 (英文)。 有些 TPM 不支援所有演算法。
- 如需 Windows 在平台加密儲存提供者支援的演算法清單,請參閱 CNG 加密演算法提供者 (英文)。
- TPM 2.0 已達成 ISO 標準化 (ISO/IEC 11889:2015)。
- 使用 TPM 2.0 可能有助於排除 OEM 需求,以針對特定國家和地區的標準設定做出例外狀況 。
- TPM 2.0 可跨不同的實作提供更一致的體驗。
- TPM 1.2 實作會因原則設定而有差異。 這可能會因為鎖定原則有所不同而導致支援問題。
- TPM 2.0 鎖定原則是由 Windows 設定,可確保一致的字典攻擊保護保證。
- 雖然 TPM 1.2 元件是獨立的晶片元件, TPM 2.0 通常會以單一包裝設備套件中的個別 (dTPM) 晶片元件的形式提供, 整合式元件 會併入一或多個包裝套件,以及相同套件 () 中的其他邏輯單元,以及以韌體 (在受信任執行環境中執行的 fTPM) 型元件, (TEE) 一般用途Soc。
注意
在 BIOS 的舊版和 CSM 模式中不支援 TPM 2.0。 TPM 2.0 的裝置必須將其 BIOS 模式設定為僅限原生 UEFI。 必須停用舊版和相容性支援模組 (CSM) 選項。 如需新增安全性,請啟用安全開機功能。
在舊版模式的硬體上安裝的操作系統,會在 BIOS 模式變更為 UEFI 時停止作業系統開機。 變更 BIOS 模式之前,請先使用 工具MBR2GPT ,以準備操作系統和磁碟以支援 UEFI。
離散、整合或韌體 TPM?
TPM 有三種實作選項:
- 離散 TPM 晶片做為其本身的晶片套件中的個別元件。
- 整合式 TPM 解決方案,使用整合到一或多個包裝設備套件的專用硬體,但以邏輯方式與其他元件分開。
- 韌體 TPM 解決方案,以一般用途計算單位的信任執行模式,在韌體中執行 TPM。
Windows 會以相同方式使用任何相容的 TPM。 Microsoft 不會採用應該以何種方式實作 TPM,而且有廣泛的可用 TPM 解決方案生態系統,這應該符合所有需求。
對消費者而言,TPM 有任何重要性嗎?
對於終端取用者而言,TPM 是在幕後,但仍相關。 TPM 用於 Windows Hello、Windows Hello 企業版,且未來會是 Windows 許多其他主要安全性功能的元件。 TPM 會保護 PIN、協助加密密碼,並以整體 Windows 體驗案例為基礎,以安全性作為重要要素。 在含有 TPM 的系統上使用 Windows,將可讓安全性涵蓋範圍達到更深、更廣的層級。
適用於 Windows 的 TPM 2.0 合規性
Windows 傳統型版本 (家用版、專業版、企業版和教育版)
- 自 2016 年 7 月 28 日起,所有新的裝置型號、線條或數列 (,或如果您要更新現有型號、線條或系列的硬體組態,並進行重大更新,例如 CPU、圖形卡) 必須默認實作並啟用 TPM 2.0 (最低 硬體需求 頁面) 第 3.7 節中的詳細數據。 啟用 TPM 2.0 的需求僅適用於製造新裝置。 如需特定 Windows 功能的 TPM 建議,請參閱 TPM 及 Windows 功能。
IoT 核心版
- 在 IoT 核心版上,TPM 是選擇性的。
Windows Server 2016
- 除非 SKU 符合主機守護者服務案例的其他資格 (AQ) 準則,否則 TPM 對於 Windows Server SKU 是選擇性的,在此案例中需要 TPM 2.0。
TPM 與 Windows 功能
下表會定義哪個 Windows 功能需要 TPM 支援。
| Windows 功能 | 需要 TPM | 支援 TPM 1.2 | 支援 TPM 2.0 | 詳細資料 |
|---|---|---|---|---|
| 測量開機 | 是 | 是 | 是 | 測量開機需要 TPM 1.2 或 2.0 和 UEFI 安全開機。 建議使用 TPM 2.0,因為它支援較新的密碼編譯演算法。 TPM 1.2 僅支持即將淘汰的 SHA-1 演算法。 |
| BitLocker | 否 | 是 | 是 | 支援 TPM 1.2 或 2.0,但建議使用 TPM 2.0。 裝置加密需要新式待命, 包括 TPM 2.0 支援 |
| 裝置加密 | 是 | 無 | 是 | 裝置加密需要新式待命/連線待命憑證,而這又需要 TPM 2.0。 |
| Windows Defender Device Guard) (應用程控 | 否 | 是 | 是 | |
| Windows Defender 系統防護 (DRTM) | 是 | 否 | 是 | 需要 TPM 2.0 和 UEFI 韌體。 |
| Credential Guard | 否 | 是 | 是 | Windows 10 版本 1507 (生命週期結束於 2017 年 5 月) 對於 Credential Guard 僅支援 TPM 2.0。 從 Windows 10 版本 1511 開始,支援 TPM 1.2 和 2.0。 TPM 2.0 與 Windows Defender 系統防護 配對,可為 Credential Guard 提供增強的安全性。 Windows 11 預設需要 TPM 2.0,以便更輕鬆地為客戶啟用此增強式安全性。 |
| 裝置健康情況證明 | 是 | 是 | 是 | 建議使用 TPM 2.0,因為它支援較新的密碼編譯演算法。 TPM 1.2 僅支持即將淘汰的 SHA-1 演算法。 |
| Windows Hello/Windows Hello 企業版 | 否 | 是 | 是 | Microsoft Entra 聯結支援這兩種版本的 TPM,但需要具有密鑰哈希訊息驗證程式代碼的 TPM (HMAC) 和簽署密鑰 (EK) 憑證,以取得金鑰證明支援。 建議透過 TPM 1.2 使用 TPM 2.0,以提升效能和安全性。 Windows Hello 作為 FIDO 平台驗證器,將會利用 TPM 2.0 作為密鑰記憶體。 |
| UEFI 安全開機 | 否 | 是 | 是 | |
| TPM 平台密碼編譯提供者金鑰存放區提供者 | 是 | 是 | 是 | |
| 虛擬智慧卡 | 是 | 是 | 是 | |
| 憑證存放區 | 否 | 是 | 是 | TPM 只有在憑證是儲存於 TPM 時才需要。 |
| 自動駕駛儀 | 否 | 無 | 是 | 如果您想要部署需要 TPM (的案例,例如白戴式) 和自我部署模式,則需要 TPM 2.0 和 UEFI 韌體。 |
| SecureBIO | 是 | 否 | 是 | 需要 TPM 2.0 和 UEFI 韌體。 |
TPM 2.0 系統可用性和認證組件的 OEM 狀態
受規定產業中的政府客戶和企業客戶可能具備需要使用常見的認證 TPM 組件的擷取標準。 因此,提供裝置的 OEM 可能要求只能在他們的商業類別系統上使用認證的 TPM 元件。 如需詳細資訊,請連絡您的 OEM 或硬體製造商。
相關主題
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應