У цьому розділі для ІТ-фахівців описується довірений платформний модуль (TPM) і його використання операційною системою Windows для управління доступом і перевірки автентичності.
опис компонента
Технологія довірених платформних модулів (TPM) призначена для надання апаратних функцій, пов'язаних з безпекою. Мікросхема TPM - це надійний криптографічний процесор, спроектований для виконання операцій шифрування. Мікросхема містить кілька механізмів фізичного захисту, щоб запобігти злому, і шкідливі програми не можуть обійти функції безпеки TPM. Деякі з основних переваг використання технології TPM:
створення, збереження і обмеження використання криптографічних ключів;
технологію TPM можна використовувати для перевірки справжності пристрою за допомогою унікального RSA-ключа TPM, записаного в модуль;
забезпечення цілісності платформи за рахунок зберігання вимірювань безпеки.
Найпоширеніші функції TPM використовуються для оцінки цілісності системи, а також для створення та застосування ключів. Під час завантаження системи завантаження завантажувальний код (в тому числі вбудоване ПО і компоненти операційної системи) можна перевірити і записати в модуль TPM. Оцінку цілісності можна використовувати для перевірки запуску системи і підтвердження того, що ключ на основі TPM використовувався, тільки коли система була завантажена з правильним програмним забезпеченням.
Різні версії TPM визначені в специфікації організації TCG. Додаткові відомості див. На веб-сайті TCG.
Автоматична ініціалізація TPM в Windows 10
Практичне застосування
Автоматизована підготовка в TPM знижує вартість розгортання TPM на підприємстві. Нові API для керування TPM можуть визначити, чи потрібне для підготовки TPM фізична присутність фахівця для підтвердження запитів на зміну стану TPM під час завантаження.
У TPM є ряд параметрів групової політики, які можуть бути корисні в деяких корпоративних сценаріях. Додаткові відомості див. У розділі Параметри групової політики TPM.
Нові та змінені функції
Додаткові відомості про нові і змінених функціях модуля TPM в Windows 10 см. В розділі Що нового в довіреному платформенном модулі?
Атестація працездатності пристрою
Підтвердження працездатності пристрою дозволяє підприємствам встановлювати довіру на основі апаратних і програмних компонентів керованого пристрою. За допомогою атестації працездатності пристрою можна налаштувати MDM-сервер для запиту служби підтвердження працездатності, що дозволить або заборонить доступ до безпечного ресурсу з боку керованого пристрою.
За допомогою пристрою можна перевірити наступне.
Запобігання виконання даних підтримується і включено?
Шифрування диска BitLocker підтримується і включено?
Безпечне завантаження підтримується і включена?
Примітка
Пристрій повинен працювати під управлінням Windows10 і має підтримувати хоча б TPM 2.0.