信賴平台模組技術概觀
本文說明信賴平臺模組 (TPM) ,以及 Windows 如何使用它來進行訪問控制和驗證。
功能描述
信賴平臺模組 (TPM) 技術是設計來提供硬體型安全性相關功能。 TPM 晶片是安全的加密處理器, 其設計目的是執行密碼編譯作業。 該晶片包含多個實體安全性機制, 使其可防竄改, 惡意軟體無法竄改 TPM 的安全性功能。 使用 TPM 技術的一些優點如下:
- 產生、儲存密碼編譯金鑰及限制此金鑰的使用。
- 使用 TPM 的唯一 RSA 金鑰進行裝置驗證,這會刻錄到晶片中。
- 採取並儲存開機程式的安全性度量,協助確保平臺完整性。
最常見的 TPM 功能是用於系統完整性測量及金鑰的建立與使用。 在系統開機程序期間,可以測量載入的開機程式碼 (包括韌體和作業系統元件) 並記錄在 TPM 中。 完整性測量可用來證明系統的啟動情況,以及確保只有在使用正確軟體來進行系統開機的情況下,才會使用 TPM 型金鑰。
TPM 金鑰可以透過各種方式設定。 其中一個選項是讓 TPM 型金鑰無法在 TPM 外部使用。 這可以有效降低網路釣魚攻擊,因為它會防止金鑰在沒有 TPM 的情況下被複製及使用。 TPM 型金鑰也可以設定成需要授權值才能使用。 如果發生太多不正確的授權猜測,TPM 會啟動其字典攻擊邏輯,並防止進一步的授權值猜測。
不同的 TPM 版本皆由信賴運算群組 (TCG) 定義在規範中。 如需詳細資訊,請參閱 TCG 網站。
Windows 版本和授權需求
下表列出支援信賴平臺模組 (TPM) 的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
信賴平臺模組 (下列授權會授與 TPM) 授權權利:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
使用 Windows 自動初始化 TPM
從 Windows 10 和 Windows 11 開始, 作業系統會自動初始化並取得 TPM 的擁有權。 這表示, 在大部分的情況下, 建議您不要透過 TPM 管理主控台 TPM.msc 設定 TPM。 少數的幾個例外,多與電腦重設或執行全新安裝有關。 如需詳細資訊, 請參閱清除所有 TPM 金錀。
注意
從 Windows Server 2019 和 Windows 10 版本 1809開始, 我們 不再主動開發 TPM 管理主控台。
在某些特定企業案例中,限 Windows 10 的 1507 及 1511 版,群組原則可能用在 Active Directory 中備份 TPM 擁有者授權值。 因為 TPM 狀態會跨作業系統安裝持續存在,所以此 TPM 資訊會儲存在與電腦物件不同的 Active Directory 位置中。
實際應用
憑證可以安裝或建立在使用 TPM 的電腦上。 布建計算機之後,憑證的 RSA 私鑰會系結至 TPM,而且無法匯出。 TPM 也可以用來取代智慧卡,這樣可以減少智慧卡的相關製造和支付成本。
TPM 中的自動化佈建可降低企業中的 TPM 部署成本。 新的 TPM 管理 API 可以判斷在開機程序期間,TPM 佈建動作是否需要服務技術人員實體操作來核准 TPM 狀態變更要求。
反惡意代碼軟體可以使用操作系統啟動狀態的開機測量來證明執行 Windows 之電腦的完整性。 這些測量包括啟動 Hyper-V,以測試使用虛擬化的數據中心未執行不受信任的 Hypervisor。 使用 BitLocker 網路解除鎖定時,IT 系統管理員可以推播更新,而不需顧慮電腦正在等待輸入 PIN。
TPM 有幾個群組原則設定,可能適用某些企業案例。 如需詳細資訊,請參閱 TPM 群組原則設定。
裝置健康情況證明
裝置健康情況證明可讓企業依據受管理裝置的硬體和軟體元件建立信賴關係。 透過裝置健康情況證明,您可以設定 MDM 伺服器來查詢健康情況證明服務,以允許或拒絕受控裝置存取安全資源。
您可以在裝置上檢查的一些安全性問題包括:
- 是否支援並啟用資料執行防止?
- 是否支援並啟用 BitLocker 磁碟機加密?
- 是否支援並啟用 SecureBoot?
注意
Windows 支援 TPM 2.0 的裝置健康情況證明。 TPM 2.0 需要 UEFI 韌體。 具有舊版 BIOS 和 TPM 2.0 的裝置無法如預期般運作。
裝置健康情況證明的支援版本
| TPM 版本 | Windows 11 | Windows 10 | Windows Server 2022 | Windows Server 2019 | Windows Server 2016 |
|---|---|---|---|---|---|
| TPM 1.2 | >= ver 1607 | 是 | >= ver 1607 | ||
| TPM 2.0 | 是 | 是 | 是 | 是 | 是 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應