Trusted Platform Module
Определяет, будет ли использоваться имеющийся на материнской плате модуль TPM (значение Enabled) или нет (Disabled).
TPM (Trusted Platform Module) представляет собой защищенное хранилище паролей и ключей шифрования. Модуль TPM позволяет создавать новые уникальные ключи для надежного шифрования сетевого трафика, данных на жестком диске (для реализации этих возможностей необходимы соответствующие сетевые карты и поддерживающие технологию TPM жесткие диски). Данное решение также может быть использовано для отслеживания правомерности использования защищенного цифрового контента (например, музыки). Еще одной функцией TPM является верификация аппаратных средств компьютера, гарантирующая неизменность конфигурации. Из наиболее распространенных операционных систем в полной мере TPM поддерживает только Windows Vista.
Обзор технологии доверенного платформенного модуля
В этой статье описывается доверенный платформенный модуль (TPM) и его использование в Windows для управления доступом и проверки подлинности.
Описание компонента
Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптографический процессор, предназначенный для выполнения криптографических операций. Микросхема имеет несколько физических механизмов обеспечения безопасности, которые делают ее устойчивой к несанкционированному вмешательству, и вредоносное программное обеспечение не может взломать функции безопасности TPM. Ниже приведены некоторые преимущества использования технологии доверенного платформенного платформенного модуля.
- создание, сохранение и ограничение использования криптографических ключей;
- Используйте его для проверки подлинности устройства с помощью уникального ключа RSA доверенного платформенного модуля, который сгорает в микросхему.
- Помогите обеспечить целостность платформы, принимая и сохраняя измерения безопасности процесса загрузки.
Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.
Ключи на основе доверенного платформенного модуля можно настроить различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если происходит слишком много неправильных предположений авторизации, доверенный платформенный модуль активирует логику атаки словаря и предотвращает дальнейшие угадки значений авторизации.
Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие доверенный платформенный модуль (TPM):
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Права на лицензии доверенного платформенного модуля (TPM) предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Автоматическая инициализация TPM в Windows
Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.
В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.
Практическое применение
На компьютерах с TPM можно устанавливать и создавать сертификаты. После подготовки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.
Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.
Программное обеспечение для защиты от вредоносных программ может использовать загрузочные измерения состояния запуска операционной системы, чтобы доказать целостность компьютера под управлением Windows. Эти измерения включают запуск Hyper-V для проверки того, что центры обработки данных, использующие виртуализацию, не работают с ненадежными гипервизорами. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.
В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.
Аттестация работоспособности устройства
Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации тепла устройства можно настроить сервер MDM для запроса службы аттестации работоспособности, которая разрешает или запрещает управляемому устройству доступ к защищенному ресурсу.
Некоторые проблемы безопасности, которые можно проверка на устройствах:
- Предотвращение выполнения данных поддерживается и включено?
- Шифрование диска BitLocker поддерживается и включено?
- Безопасная загрузка поддерживается и включена?
Windows поддерживает аттестацию работоспособности устройств с TPM 2.0. Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Устройство с устаревшей версией BIOS и TPM 2.0 не будет работать должным образом.
Поддерживаемые версии для подтверждения работоспособности устройства
| Версия TPM | Windows 11 | Windows 10 | Windows Server 2022 | Windows Server 2019 | Windows Server 2016 |
|---|---|---|---|---|---|
| TPM 1.2 | >= версия 1607 | Да | >= версия 1607 | ||
| TPM 2.0 | Да | Да | Да | Да | Да |
Что такое TPM и как его использовать в Windows
Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе «Устройства безопасности». Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.
Доверенный платформенный модуль, или TPM (trusted platform module) – это отдельный микрочип на системной плате компьютера, который выполняет специфический круг задач, связанных с криптографией и защитой компьютера.
Например, с помощью криптопроцессора TPM можно осуществлять шифрование жёсткого диска компьютера. Конечно, это может делать и центральный процессор, но тогда ему придётся выполнять больше задач, и скорость шифрования и расшифрования будет гораздо ниже. Аппаратно реализованное шифрование в модуле TPM происходит практически без потери производительности.
Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.
Также TPM может защищать учётные данные и проверять программы, запущенные в системе. Предотвращает заражение руткитами и буткитами (разновидности вредоносных программ, которые проникают в компьютер до загрузки операционной системы или скрывают своё присутствие в системе, и потому не могут быть распознаны системой), следя за тем, чтобы конфигурация компьютера не была изменена без ведома пользователя.
Кроме того, каждый криптографический модуль TPM имеет уникальный идентификатор, который записан прямо в микросхему и не может быть изменён. Поэтому крипточип может использоваться для проверки подлинности при доступе к сети или какому-либо приложению.
TPM может генерировать стойкие ключи шифрования, когда это требуется операционной системе (ОС).
Но прежде чем использовать модуль TPM , его необходимо настроить. Настройка модуля сводятся к нескольким простым действиям.
- Во-первых, чип нужно активировать в BIOS компьютера (если он не активирован).
- Во-вторых, нужно стать его владельцем на уровне операционной системы.
Рассмотрим эти шаги более подробно.
1 Включение модуля TPM в BIOS компьютера
Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».
Модуль может находиться в трёх состояниях:
- Выключен (Disabled).
- Включён и не задействован (Inactive).
- Включён и задействован (Active).
В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».
Тут же в настройках можно очистить старые ключи, сгенерированные чипом.
Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).
Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.
После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».
2 Инициализация модуля TPM в Windows
Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM . Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».
Здесь, кстати, можно почитать дополнительную информацию – что такое TPM , когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.
В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.
Когда запустится мастер инициализации TPM , он предложит создать пароль. Выберите вариант «Автоматически создать пароль».
Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.
По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.
Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).
Собственно, на этом заканчиваются возможности управления модулем TPM . Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.
Последнее изменениеВторник, 12 Март 2019 19:04 Прочитано 133171 раз
Поблагодарить автора:
Поделиться
Похожие материалы (по тегу)
Последнее от aave
- Как использовать тип BitVector32 в .NET
- WPF: элементы ListBox в виде CheckBox
- Как заменить матрицу ноутбука ThinkPad T440s
- Потокобезопасная наблюдаемая коллекция
- Преобразование массива в строку с помощью LINQ и лямбда-выражений
Другие материалы в этой категории:
12 комментарии
Андрей 25.07.2020 18:33 Комментировать Здравствуйте!
Хочу поделиться своей проблемой по поводу TPM. Недавно система обновилась
KB4565503 (Build 19041.388) для Windows 10 (версия 2004) В тот же день появился
Синий экран смерти, у меня таково раньше никогда не было. Ошибка 0x00000133
И так стало продолжаться каждый день. Нашел такую информацию : ( Драйвер устройства для доверенного платформенного модуля (TPM) обнаружил неустранимую ошибку, связанную с оборудованием TPM, которая не позволяет использовать службы TPM (например, шифрование данных). Обратитесь за помощью к производителю компьютера.) Пришлось в биосе отключить модуль ТРМ, пока все работает четко.
Может кому-то моя информация поможет
aave1 26.07.2020 21:16 Комментировать Андрей, спасибо большое за информацию! Это действительно интересно. Жаль только, что пришлось полностью отключать модуль TPM и не нашлось другого решения.
Влад 27.12.2020 08:47 Комментировать Цифровая лицензия виндовс 10 слетит при этом?
aave1 27.12.2020 18:14 Комментировать Влад! При чём «при этом»?
Алексей 05.07.2021 10:41 Комментировать Зашел в биос, включил ТПМ. Не пришлось никаких паролей создавать. Ничего инициализировать. Но скорее всего из-за того, что у меня включена учетка мелкософт.
Вопрос, чем грозит нажатие справа команды «Отчистить ТПМ»?
aave1 05.07.2021 20:18 Комментировать Алексей, в чипе TPM могут храниться какие-то ваши пароли и идентификационные данные (например, для входа в Windows). Также если вы зашифровали свои данные или диски с помощью аппаратного шифрования (используя, например, BitLocker), то не сможете восстановить их.
Поэтому прежде чем очищать модуль TPM, необходимо расшифровать все данные, которые были с помощью него зашифрованы. Перед очисткой желательно создать TPM-файл с резервной копией ключей. Это делается в оснастке TPM.
Рекомендуется очищать модуль при продаже компьютера другому владельцу или при неполадках в работе чипа.
Владимир 31.07.2021 09:22 Комментировать Здравствуйте !
Прочитал вашу статью и проверил у себя в своём ноутбуке ASUS наличие модуля TPM
Оказалось, что у меня он готов к работе. Но, лично я его не включал и даже не имею пароля от него.
И как теперь мне быть с этим модулем ? Отключить его в БИОСе ? Или не обращать на него своего внимания ?
Шифрованием я лично никогда не занимался и не занимаюсь, так у меня ничего личного и секретного нет на SSD-диске.
Жду от вас консультации по моим вопросам.
Всего хорошего.
https://pixs.ru/images/2021/07/31/TRM.jpg
aave1 31.07.2021 20:17 Комментировать Владимир! В таком случае лучше не отключайте модуль TPM и не обращайте на него внимания. Никакие Ваши данные он не может «украсть» или повредить. Вероятно, модуль был активирован производителем ноутбука.
Ярослав 05.08.2021 03:08 Комментировать Привет ! Материнка P8H61 PRO позволит подключить модуль TPM?
aave1 06.08.2021 16:50 Комментировать Ярослав, да.
Виталий 25.11.2021 13:48 Комментировать Здравствуйте! Прочитал вашу статью чтобы подключить TPM 2.0 и столкнулся с проблемой по инициализации. Никак не могу решить задачу, подскажите пожалуйста, что я делаю не так и в чем может быть причина. Недавно приобрел TPM 2.0 модуль для своей материнской платы ASUS ROG STRIX Z370-F GAMING. Инициация модуля похоже прошла в автоматическом режиме. В управлении доверенным платформенным модулем отображается статус «готов к использованию». Очистку проводил несколько раз, и через менеджер TPM (который вызывается командой «tpm.msc»), и через устранение неисправностей TMP (та что в настройках безопасности ОС), и через непосредственно UEFI. Результат всегда один, система уведомляет что могут быть потеряны данные, я соглашаюсь, очистка вроде как происходит, компьютер перезагружается. Вновь захожу в менеджер TPM («tpm.msc») и вижу прежнюю картину — модуль готов к использованию, а варианта с ручной инициализаций нет. При этом новый BIOS или точнее UEFI для платы ASUS ROG STRIX Z370-F GAMING установлен, операционная система Windows 11 крайней версии. В БИОСе модуль включен (параметр Firmware TPM). На всякий случай включил в БИОСе функцию Secure Boot — разницы нет. Складывается впечатление что Майкрософт специально выполняет инициализацию модуля автоматически для «удобства» пользователя. Но хочется иметь доступ к паролю своей системы, иначе о какой безопасности идет речь. Или я что-то делаю не так или модуль с дефектом. И тут же интересно, как вообще проверить практически работоспособность модуля? Или же функция создания пароля в ручную возможна только с использованием Bitlocker? У меня Windows Home, и понимаю что Bitlocker в этой версии не предусмотрен, но в нем ли дело? В общем тема интересная, хочется докопаться до истины.
aave1 26.11.2021 16:27 Комментировать Виталий! У Вас нет возможности залезть «внутрь» модуля. Он работает полностью в автоматическом режиме. Если система сообщает, что модуль готов, значит она его проверила и она может с ним работать. Тема, согласен, очень интересная, и довольно сложная. Информации на русском языке довольно мало, нужно читать спецификации на английском языке. А на русском для начала можете посмотреть видео на Ютуб с названием «TPM.TXT: попробуем взломать!», в нём кратко описываются задачи TPM, и как с ним работает компьютер.
Windows 11 — что делать если на компьютере нет TPM 2.0?
Сегодня была представлена Windows 11 у которой в списке обязательных требований модуль TPM 2.0. Так получилось, что большая часть материнских плат проданных на территории Российской Федерации не содержат в себе этот модуль. Выходит, купленный в этом году топовый компьютер может быть попросту несовместимым с будущей ОС от Microsoft.
Так ли это на самом деле? Не совсем.
Материнские плат на чипсетах Intel или AMD содержат в себе функцию софтового TPM модуля. Данный гайд позволит вам активировать его. В UEFI материнских плат на чипсете Intel настройка обычно называется PTT. Можете почитать о технологии здесь.
Перейдём к делу. В первую очередь скачайте и установите приложение PC Health Check с сайта Microsoft. Это поможет определить — нужно ли вообще беспокоиться о совместимости?
Окно программы PC Health Check
Нажимаем «Проверить сейчас». Если программа показывает «На этом компьютере можно запустить Windows 11», то поздравляю! Вам больше ничего не надо делать. Вы счастливый обладатель аппаратного TPM модуля или настройки вашей материнской платы по умолчанию выставлены правильно.
На этом компьютере можно запустить Windows 11
Если же PC Health Check показывает «Запуск Windows 11 на этом компьютере невозможен», то продолжим диагностику.
Запуск Windows 11 на этом компьютере невозможен
К сожалению PC Health Check не указывает в явном виде причину несовместимости. Поэтому воспользуемся встроенным средством настройки TPM модулей в Windows. Для этого нажимаем «Win + R» и вводим команду «tpm.msc».
Перед нами предстанет окно оснастки «Управление доверенным платформенным модулем (TPM) на локальном компьютере»
оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере»
Если у вас также, как и у меня написано, что не удалось найти совместимый доверенный платформенный модуль, то мы нашли проблему (возможно она не единственная, но этот гайд рассчитан только на неё).
Пора перейти в BIOS/UEFI вашего компьютера. Обычно достаточно перезагрузиться и нажимать кнопку Delete (иногда F1, F10, F12) при старте.
Далее зайдите в настройки безопасности. У меня это Settings — Security. У вас может быть по другому.
В Security ищите пункт Trusted Computing. Пункт может называться по другому (TPM, PTT, Trusted Platform Module и другие варианты). Выберите TPM Device Selection. Выберите PTT.
Обязательно сохраните настройки и перезагрузитесь.
Снова запускаем оснастку «Управление доверенным платформенным модулем (TPM) на локальном компьютере». («Win + R» «tpm.msc»)
Если появились параметры TPM модуля, то вы успешно активировали софтовый модуль.
Убеждаемся в PC Health Check, что компьютер готов к Windows 11.
На этом можно закончить.
Но если после активации софтового TPM модуля PC Health Check всё ещё показывает несовместимость, то это было не единственное невыполненное минимальное требование Windows 11. Остаётся только ждать более информативных тестов на совместимость или можете пройтись по официальному списку минимальных требований:
- Процессор: Не менее двух ядер с тактовой частотой не менее 1 гигагерца (ГГц) на совместимом 64-битном процессоре или Системе на кристалле (SoC)
- ОЗУ: 4 ГБ ОЗУ
- Хранилище: Устройство хранения на 64 ГБ или больше
- Видеоадаптер: Графический адаптер, совместимый с DirectX 12 / WDDM 2.x
- Дисплей: > 9 дюймов с разрешением HD (720p)
- Интернет-соединение: Для установки Windows 11 домашняя требуется учетная запись Майкрософт и подключение к Интернету.
Добавлю, что у большинства ноутбуков есть аппаратные TPM и их нужно просто активировать.
Также всегда можно приобрести аппаратный TPM для вашей материнки, но будьте внимательны — существуют версии на 12, 14, 16, 18, 20 пинов. Читайте мануал к вашей материнке для выбора правильного модуля.