Elementele de bază ale tpm (ferestre)

În această secțiune, pentru profesioniștii IT, este prezentată o descriere a componentelor TPM 1.2 și TPM 2.0 și este explicat modul în care acestea sunt utilizate pentru a proteja împotriva atacului prin căutarea dicționarului.

Trusted Platform Module (TPM) este un cip conceput pentru a furniza funcțiile de bază legate de securitate, în special cele referitoare la cheile de criptare. TPM este instalat de obicei pe placa de sistem a calculatorului și interacționează cu restul sistemului cu o magistrală hardware.

Computerele cu TPM pot crea chei criptografice și le pot cripta, astfel încât acestea să poată fi decriptate numai de modulul TPM. Acest proces, numit adesea transferul sau legarea unei chei, va ajuta la protejarea cheii de dezvăluire. Fiecare modul TPM are o cheie principală de transfer, numită tasta rădăcină de stocare, care este stocată în TPM în sine. Partea închisă a cheii rădăcină de stocare sau cheia de confirmare creată în modulul de platformă de încredere nu este prezentată niciodată la nicio altă componentă, software, proces sau utilizator.

Puteți specifica capacitatea de a transfera cheile de criptare create de TPM. Dacă opțiunea de transfer este setată, părțile deschise și închise ale cheii pot fi furnizate altor componente, software, procese sau utilizatori. Dacă specificați că nu puteți trece cheile de criptare, atunci partea privată a cheii nu este furnizată niciodată altor componente, software-uri, procese sau utilizatori.

Computerele cu un modul TPM pot crea, de asemenea, o cheie care nu este doar ambalată, ci și legată de anumite valori ale platformei. Acest tip de cheie poate fi decomprimat numai dacă acești indicatori de platformă au aceleași valori ca atunci când creați cheia. Acest proces se numește "sigilarea cheii în modulul TPM". Decriptarea cheii se numește imprimare. Modulul TPM poate, de asemenea, să sigileze și să imprime date generate în afara TPM. Cu această cheie sigilată și software, cum ar fi BitLocker Drive Encryption, puteți bloca datele până când sunt îndeplinite anumite condiții hardware sau software.

Utilizând un modul de platformă de încredere, părțile private ale perechilor de chei sunt stocate separat de memoria gestionată de sistemul de operare. Cheile pot fi sigilate în TPM, iar înainte de a fi tipărite și permise să le utilizeze, puteți efectua anumite verificări ale stării sistemului (garanții care determină fiabilitatea sistemului). TPM utilizează propriul firmware și logică internă pentru a procesa instrucțiunile, astfel încât să nu se bazeze pe sistemul de operare și nu este expus riscurilor din partea sistemului de operare și a aplicațiilor software.

Pentru informații despre compatibilitatea versiunilor Windows și TPM, consultați Prezentarea generală a tehnologiei TPM. Caracteristicile disponibile în versiuni sunt definite în specificație de către organizația TCG. Pentru mai multe informații, consultați pagina de service Trusted Platform Module a site-ului TCG: Trusted Platform Module.

Următoarele secțiuni oferă o prezentare generală a tehnologiilor care acceptă TPM.

Următoarea secțiune descrie serviciile TPM care pot fi gestionate centralizat utilizând setările politicii de grup:

Pregătirea și gestionarea automată a TPM

Pregătirea TPM poate fi simplificată pentru a facilita implementarea sistemelor gata pentru BitLocker și alte funcții dependente de TPM. Aceste îmbunătățiri acoperă simplificarea modelului de stare TPM pentru a informa despre starea Ready. Gata cu funcționalitate limitată sau Gata. De asemenea, puteți pregăti automat module de platformă de încredere în starea Ready. Instruirea de la distanță pentru a elimina necesitatea de participare fizică a unui tehnician la implementarea inițială. În plus, stack-ul TPM este disponibil în mediul de preinstalare Windows PE (Windows PE).

Sarcină măsurată cu suport de aprobare

Funcția de încărcare măsurabilă oferă un program anti-malware cu un jurnal de încredere (rezistent la falsificare și modificare ilegală) a tuturor componentelor de boot. Antivirusul poate folosi jurnalul pentru a determina dacă este posibilă încrederea în componentele care rulează înainte, indiferent dacă sunt infectate cu programe rău intenționate. Acest software poate trimite, de asemenea, jurnale de încărcare măsurate la un server la distanță pentru evaluare. Serverul de la distanță poate iniția acțiunile fixe prin interacțiunea cu programul pe client sau prin intermediul unor operatori independenți, dacă este necesar.

Certificat de stocare bazat pe TPM

TPM poate fi folosit pentru protejarea certificatelor și a cheilor RSA. Furnizorul de chei TPM oferă o utilizare simplă și convenabilă a TPM ca o modalitate de a proteja în siguranță cheile private. KSP TPM poate fi folosit pentru a genera chei la înregistrarea unei organizații pentru certificate. Controlul KSP se face prin șabloane din interfața cu utilizatorul. TPM poate fi, de asemenea, utilizat pentru protejarea certificatelor importate dintr-o sursă externă. Certificatele bazate pe TPM pot fi utilizate ca certificate standard cu funcții suplimentare, astfel încât certificatul să nu părăsească niciodată modulul TPM în care au fost create cheile. Acum, TPM poate fi folosit pentru operațiuni criptografice utilizând API de criptare de generație următoare (CNG). Pentru mai multe informații, consultați API-ul de criptare: Generația următoare.

Tasta de registry: HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ TPM

TPM Cmdlets

Dacă utilizați PowerShell pentru a scrie scripturi și a gestiona computerele, puteți gestiona acum TPM utilizând Windows PowerShell. Pentru a instala cmdlet-urile TPM, utilizați următoarea comandă:

dism / online / enable-feature / FeatureName: tpm-psh-cmdleturi

Pentru informații detaliate despre cmdlet-urile individuale, consultați Cmdleturi TPM în Windows PowerShell.

Interfața prezenței fizice

Specificația organizației TCG pentru module de platformă de încredere necesită prezența fizică atunci când efectuează anumite funcții TPM administrative, de exemplu, activarea și dezactivarea TPM. Prezenta fizică înseamnă că o persoană trebuie să interacționeze fizic cu sistemul și interfața TPM pentru a confirma sau respinge modificările de stare TPM. De obicei, astfel de acțiuni nu pot fi automatizate utilizând scripturi sau alte instrumente de automatizare decât dacă sunt furnizate de un producător de hardware specific. Următoarele sunt exemple de sarcini de administrare TPM care necesită prezență fizică.

Activarea TPM
Ștergerea informațiilor despre proprietar existente din TPM fără parola proprietarului
Dezactivarea TPM
Dezactivarea TPM pentru o perioadă fără parola proprietarului

Starea disponibilității în TPM

Pentru fiecare dintre aceste stadii de disponibilitate a TPM 1.2, modulul TPM poate trece la o altă stare (de exemplu, de la oprit la activat). Stările nu se exclud reciproc.

Aceste stări de disponibilitate nu se aplică platformei Trusted Platform Module 2.0, deoarece nu poate fi dezactivată din mediul sistemului de operare.

Aplicațiile nu pot utiliza TPM înainte de trecerea la stările "on", "activated" și "owns". Toate operațiile sunt disponibile numai atunci când dispozitivul TPM este în această stare.

Starea TPM există independent de sistemul de operare al computerului. Când TPM este activat, activat și are proprietarul, starea TPM este reținută când sistemul de operare este reinstalat.

Cheile de confirmare

Modulul TPM care va fi utilizat de aplicația de încredere trebuie să conțină o cheie de confirmare, care este o pereche de taste RSA. Partea închisă a perechii de chei este în interiorul TPM, nu a fost niciodată deschisă și nu este accesibilă în afara TPM. Dacă TPM nu conține o cheie de confirmare, aplicația poate iniția crearea automată de către modulul TPM ca parte a procesului de instalare.

Cheia de confirmare poate fi creată în diferite puncte ale ciclului de viață TPM, dar numai o singură dată pentru întreaga durată de viață a TPM. Este necesară prezența unei chei de confirmare înainte de preluarea proprietarului TPM.

Certificarea cheie

Certificarea cheii TPM permite CA să verifice dacă cheia privată este într-adevăr protejată de TPM, iar modulul TPM este modul în care autoritatea CA are încredere. Tastele de confirmare recunoscute ca valide pot fi utilizate pentru a lega identitatea unui utilizator cu dispozitivul. În plus, certificatul de utilizatori cu un TPM cheie certificat oferă o garanție a unei securități sporite asigurată de interzicerea exporturilor, contracarând selectarea parolelor și izolarea cheilor furnizate de TPM.

Cum TPM protejează împotriva atacurilor de forță brute

Comportamentul atacului prin căutarea în dicționarul TPM 2.0

TPM 2.0 are o logică de atac bine definită prin căutarea dicționarului. Spre deosebire de TPM 1.2, pentru care logica atacului prin căutarea dicționarului a fost stabilită de producător și a fost semnificativ diferită în industrie.

Pentru această secțiune, hardware-ul certificat pentru Windows 8 se aplică, de asemenea, sistemelor Windows 8.1. Următoarele referințe pentru Windows acoperă aceste versiuni acceptate de Windows.

Logica de atac pentru dicționarul dicționarului pentru modulul TPM 2.0 poate fi complet resetată imediat prin trimiterea unei comenzi de blocare a resetării la modulul TPM și prin introducerea parolei proprietarului TPM. În mod implicit, Windows pregătește automat TPM 2.0 și salvează parola proprietarului TPM pentru a fi utilizată de administratorii de sistem.

Logica din spatele setărilor implicite Windows 8.1 și Windows 8

Windows utilizează protecție împotriva atacurilor prin forță bruțară asupra dicționarului TPM 2.0 pentru mai multe componente. Valorile implicite selectate pentru balanța cerințelor pentru Windows 8 în diferite scenarii.

De exemplu, dacă utilizați BitLocker cu TPM și configurația PIN în timp, va trebui să limitați numărul de selecții PIN. Dacă calculatorul este pierdut, o persoană neautorizată poate efectua numai 32 de încercări consecutive de a selecta un cod PIN și apoi o încercare la fiecare 2 ore. Aceasta este de 4.415 estimări pe an. Acesta este un bun indicator pentru administratori, astfel încât să puteți determina numărul de caractere PIN pe care să le utilizați pentru implementările BitLocker.

Producătorii de echipamente și dezvoltatorii de software au posibilitatea de a utiliza funcțiile de securitate TPM pentru a-și rezolva propriile sarcini.

Pragul de blocare a 32 de erori este ales deoarece utilizatorul blochează rar modulul TPM (chiar și atunci când învață să introducă parole noi sau când blochează / deblochează frecvent computerele). Dacă utilizatorii blochează modulul TPM, trebuie să așteptați 2 ore sau să utilizați alte acreditări de conectare, cum ar fi numele de utilizator și parola.

Cum pot verifica starea TPM?

Puteți verifica starea dispozitivului TPM pe computer, executând modulul snap-in Modulul Trusted Platform Module (tpm.msc). Antetul Status indică starea TPM. Modulul TPM poate fi în una din următoarele stări: Gata de utilizare. Gata pentru utilizare în modul de funcționalitate redusă și Nu este gata de utilizare. Pentru a utiliza cele mai multe caracteristici TPM în Windows 10, TPM trebuie să fie Gata de utilizare.

Funcționalitatea TPM în modul de funcționare limitată

Dacă TPM este în modul de funcționalitate redusă, anumite componente care utilizează TPM nu vor funcționa corect. Acest lucru este cauzat, de obicei, de o instalare nouă a Windows 10 pe dispozitivul în care Windows 8.1, Windows 8 sau Windows 7 a fost instalat anterior pe același hardware. Dacă TPM se află în modul de funcționalitate redusă, bara de stare Ready a TPM apare în antetul Status al modulului snap-in TPM gata de utilizare în modul de funcționalitate redusă. Aceasta poate fi rezolvată prin ștergerea TPM.

Deschideți modulul de completare Trusted Platform Module (tpm.msc).

Faceți clic pe Ștergeți TPM. apoi selectați Repornire.

Când computerul repornește, vi se poate solicita să apăsați o tastă de pe tastatură pentru a șterge modulul TPM.

După ce computerul repornește, dispozitivul TPM va fi pregătit automat pentru utilizarea de către Windows.