Основи tpm (windows)

У цьому розділі для ІТ-фахівців представлено опис компонентів модуля TPM (TPM 1.2 і TPM 2.0) і пояснюється спосіб їх застосування для захисту від атак перебором по словнику.

Довірений платформний модуль (TPM) - мікросхема, призначена для надання основних пов'язаних з безпекою функцій, в першу чергу стосуються ключів шифрування. TPM зазвичай встановлюється на системну плату комп'ютера і взаємодіє з іншими компонентами системи за допомогою апаратної шини.

Комп'ютери з TPM можуть створювати криптографічні ключі та шифрувати їх так, щоб вони могли бути розшифровані тільки модулем TPM. Цей процес, який часто називають передачею або прив'язкою ключа, допоможе захистити ключ від розголошення. У кожного модуля TPM є основний ключ передачі, названий кореневим ключем сховища, який зберігається в самому модулі TPM. Закрита частина кореневого ключа сховища або ключ підтвердження, який створюється в довіреному платформенном модулі, ніколи не пред'являється ніякому іншому компоненту, ПО, процесу або користувачеві.

Можна вказати можливість передачі ключів шифрування, створених TPM. Якщо встановлена ​​можливість передачі, то відкриту і закриту частини ключа можна надавати іншим компонентам, ПО, процесам або користувачам. Якщо вказано, що передати ключі шифрування можна, то закрита частина ключа ніколи не надається до інших компонентів, ПО, процесам або користувачам.

Комп'ютери з модулем TPM також можуть створити ключ, який не тільки упакований, але і пов'язаний з певними показниками платформи. Цей тип ключа можна розпакувати, тільки якщо ці показники платформи мають ті ж значення, що і при створенні ключа. Цей процес називається "запечатуванням ключа в модуль TPM". Розшифровка ключа називається роздрукуванням. Модуль TPM може також запечатувати і роздруковувати дані, сформовані поза модуля TPM. За допомогою такого запечатаного ключа і програмного забезпечення, наприклад шифрування диска BitLocker, можна блокувати дані до виконання певних умов апаратного або програмного забезпечення.

За допомогою модуля TPM закриті частини пар ключів зберігаються окремо від пам'яті, керованої операційною системою. Ключі можна запечатати в TPM, а перед їх роздрукуванням і дозволом використання можна виконати деякі перевірки стану системи (гарантії, що визначають надійність системи). Модуль TPM використовує власний внутрішній вбудоване ПО і логічні схеми для обробки інструкцій, тому він не покладається на операційну систему і не піддається ризикам, що виходить від операційної системи і прикладного програмного забезпечення.

Відомості про сумісність версій Windows і TPM див. Розділ Огляд технології модуля TPM. Можливості, доступні в версіях, визначаються в специфікації організацією TCG. Додаткові відомості див. На сторінці служби модуля TPM веб-сайту організації TCG: Довірений платформний модуль.

Наступні розділи містять огляд технологій, які підтримують TPM.

У наступному розділі розглядаються служби TPM, якими можна централізовано керувати за допомогою параметрів групової політики:

Автоматична підготовка і управління TPM

Підготовку TPM можна спростити, щоб полегшити розгортання систем, готових для BitLocker і інших залежних від TPM функцій. Ці удосконалення охоплюють спрощення моделі стану TPM для інформування про станах Готовий. Готовий з обмеженою функціональністю або Не готовий. Також можна автоматично готувати довірені платформні модулі в стані Готовий. віддалена підготовка для усунення вимоги фізичної присутності технічного фахівця при початковому розгортанні. Крім того, стек TPM доступний в середовищі предустановки Windows (Windows PE).

Вимірюється завантаження з підтримкою атестації

Функція вимірюваної завантаження надає антівредоносное ПО з довіреною журналом (стійким до підробки та незаконної зміни) всіх компонентів завантаження. Антівредоносное ПО може використовувати журнал, щоб визначити, чи можна довіряти запущеним раніше компонентів, не заражені вони шкідливими програмами. Це ПО також може відправляти журнали вимірюваної завантаження на віддалений сервер для оцінки. Віддалений сервер може запускати дії виправлення, взаємодіючи з програмою на клієнті або через позаштатні механізми, при необхідності.

Сховище сертифікатів на основі TPM

TPM можна використовувати для захисту сертифікатів і ключів RSA. Постачальник сховища ключів TPM забезпечує просте і зручне використання модуля TPM як способу надійного захисту закритих ключів. KSP TPM можна використовувати для формування ключів при реєстрації організації на отримання сертифікатів. Управління KSP здійснюється шаблонами в інтерфейсі. TPM також можна використовувати для захисту сертифікатів, імпортованих з зовнішнього джерела. Сертифікати на основі TPM можна використовувати, як стандартні сертифікати з додатковими функціями, щоб сертифікат ніколи не покидав модуля TPM, в якому були створені ключі. Тепер TPM можна використовувати для криптографічних операцій за допомогою API-інтерфейсу шифрування наступного покоління (CNG). Додаткові відомості див. У розділі API-інтерфейс шифрування: наступне покоління.

Ключ реєстру: HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ TPM

командлети TPM

Якщо для написання сценаріїв і управління комп'ютерами використовується PowerShell, тепер управляти TPM можна також за допомогою Windows PowerShell. Для установки командлетів TPM використовуйте наступну команду:

dism / online / enable-feature / FeatureName: tpm-psh-cmdlets

Докладні відомості про окремі Командлети см. В розділі Командлети TPM в Windows PowerShell.

Інтерфейс фізичної присутності

Специфікація організації TCG для довірених платформних модулів вимагає фізичної присутності при виконанні деяких адміністративних функцій TPM, наприклад включення і відключення TPM. Фізична присутність означає, що людина повинна фізично взаємодіяти з системою і інтерфейсом TPM для підтвердження або відхилення змін стану TPM. Як правило, такі дії не можна автоматизувати за допомогою сценаріїв або інших інструментів автоматизації, якщо їх не поставив конкретне виробник обладнання. Нижче наведені приклади завдань адміністрування TPM, що вимагають фізичної присутності.

  • Активація TPM
  • Видалення існуючих відомостей про власника з TPM без пароля власника
  • Деактивация TPM
  • Відключення TPM на час без пароля власника

Стану наявності в TPM

Для кожного з цих станів наявності TPM 1.2 модуль TPM може перейти в інший стан (наприклад, з вимкненого у включений стан). Стану не виключають один одного.

Ці стану наявності незастосовні для модуля TPM 2.0, так як його не можна відключити з середовища операційної системи.

Додатки не можуть використовувати TPM до переходу в стан "включений", "активований" і "має власника". Всі операції доступні, тільки коли TPM знаходиться в цьому стані.

Стан TPM існує незалежно від операційної системи комп'ютера. Коли TPM включено, активований і має власника, стан TPM зберігається при перевстановлення операційної системи.

ключі підтвердження

Модуль TPM, який буде використовуватися довіреною додатком, повинен містити ключ підтвердження, що представляє собою пару ключів RSA. Закрита частина пари ключів знаходиться всередині TPM, ніколи не розкривається і недоступна за межами TPM. Якщо TPM не містить ключ підтвердження, додаток може ініціювати його автоматичне створення модулем TPM в рамках процесу установки.

Ключ підтвердження може створюватися в різні моменти життєвого циклу TPM, але тільки один раз за весь термін експлуатації TPM. Наявність ключа підтвердження необхідно перед прийняттям права володіння TPM.

атестація ключа

Атестація ключа TPM дозволяє центру сертифікації перевірити, що закритий ключ дійсно захищений TPM і TPM є тим модулем, який користується довірою центр сертифікації. Ключі підтвердження, які визнані допустимими, можна використовувати для прив'язки посвідчення користувача до пристрою. Крім того, сертифікат користувачів з атестованим ключем TPM надає гарантію підвищеної безпеки, що забезпечується забороною експорту, протидією підбору паролів і ізоляцією ключів, наданих TPM.

Як TPM здійснює захист від атак перебором по словнику

Поведінка атаки перебором по словнику TPM 2.0

TPM 2.0 має чітко визначеної логікою атаки перебором по словнику. На відміну від TPM 1.2, для якого логіка атаки перебором по словнику була встановлена ​​виробником і істотно відрізнялася в галузі.

Для цього розділу сертифіковане обладнання для Windows 8 також відноситься до систем Windows 8.1. Наступні посилання на Windows охоплюють ці підтримувані версії Windows.

Логіку атаки перебором по словнику для модуля TPM 2.0 можна негайно повністю скинути, відправивши команду блокування скидання модулю TPM і ввівши пароль власника TPM. За замовчуванням Windows автоматично готує TPM 2.0 і зберігає пароль власника TPM для використання адміністраторами системи.

Логіка в основі параметрів Windows 8.1 і Windows 8 за замовчуванням

Windows використовує захист від атак перебором по словнику TPM 2.0 для декількох компонентів. Значення за замовчуванням, вибрані для балансу вимог до Windows 8 в різних сценаріях.

Наприклад, при використанні BitLocker з модулем TPM і конфігурацією PIN з плином часу буде потрібно обмежити число підбирань PIN. Якщо комп'ютер загублений, то стороння особа може зробити тільки 32 послідовні спроби підбору PIN-коду і далі робити одну спробу кожні 2 години. Це становить 4415 здогадок в рік. Це хороший показник для адміністраторів, щоб можна було визначити, скільки символів PIN-коду використовувати для розгортання BitLocker.

Виробники обладнання та розробники ПЗ мають можливість використовувати функції безпеки TPM для вирішення власних завдань.

Поріг блокування в 32 помилки обраний тому, що користувач рідко блокує модуль TPM (навіть при навчанні введення нових паролів або при частій блокування / розблокування комп'ютерів). Якщо користувачі блокують TPM, необхідно почекати 2 години або використовувати інші облікові дані для входу, наприклад ім'я користувача і пароль.

Як перевірити стан TPM?

Можна перевірити стан TPM на комп'ютері, запустивши оснащення модуля TPM (tpm.msc). У заголовку Стан зазначено стан модуля TPM. Модуль TPM може перебувати в одному з наступних станів: Готовий до використання. Готовий до використання в режимі обмеженої функціональності і Не готовий до використання. Щоб скористатися більшістю функцій TPM в Windows 10, модуль TPM повинен бути готовий до використання.

Функціональні можливості TPM в режимі обмеженої функціональності

Якщо модуль TPM знаходиться в режимі обмеженої функціональності, певні компоненти, які використовують TPM, працюватимуть неправильно. Це може бути викликано виконанням нової установки Windows 10 на пристрої, де раніше була встановлена ​​система Windows 8.1, Windows 8 або Windows 7 на тому ж апаратному забезпеченні. Якщо модуль TPM знаходиться в режимі обмеженої функціональності, в заголовку "Стан" оснастки модуля TPM відображається TPM готовий до використання в режимі обмеженої функціональності. Це можна виправити, очистивши модуль TPM.

Відкрийте оснастку модуля TPM (tpm.msc).

Натисніть Очистити TPM. а потім виберіть Перезавантаження.

Коли комп'ютер перезавантажується, може бути запропоновано натиснути клавішу на клавіатурі для очищення модуля TPM.

Після перезавантаження комп'ютера модуль TPM буде автоматично підготовлений для використання системою Windows 10.

додаткові ресурси

Схожі статті