В този раздел, ИТ специалисти е описание на компонентите на Trusted Platform Module (TPM 1.2 и TPM 2.0) и обяснява как да ги използвате, за да се защитят срещу грубата сила речникови атаки.

Trusted Platform Module (TPM) - чип предназначена да осигури основни функции, свързани със сигурността, свързани главно с ключове за криптиране. TPM обикновено е инсталиран на дънната платка на компютъра и комуникира с останалата част от системата, използвайки хардуер автобус.

Компютри с TPM могат да създават криптографски ключове и ги криптира, така че те могат да бъдат разшифровани само от TPM. Този процес, често се споменава като прехвърлянето или упоменат ключ, може да помогне за защитата на ключа от разкриване. Всеки от тях има TPM, ключът основната трансмисия, наречена корен ключът за съхранение, която се съхранява в TPM. Затворената част на клавиша за корен на съхранение, или клавиша за потвърждение, който се създава в TPM, никога не ги покажете на всеки компонент, софтуер, процес или употреба.

Можете да зададете на способността за прехвърляне на криптиращи ключове, генерирани TPM. Ако сте инсталирали възможността за прехвърляне, а след това отворен и затворен част на ключа може да бъде осигурена от други компоненти, софтуер, процеси или потребители. Ако посочите, че ключовете за трансфер криптиране не може да бъде, затворената част на ключа никога не е достъпна за други компоненти, софтуер, процеси или потребители.

Компютри с TPM могат да създават ключ, който е не само пълен, но и свързани с определена платформа изпълнение. Този тип ключ може да се разопакова, само ако тези показатели платформи, имат същото значение, както при създаването на ключа. Този процес се нарича "запечатване ключ в TPM." ключ разшифроване се нарича разпечатване. Модулът TPM също може да се запечата и данни за печат, генерирани извън TPM. С такъв запечатан ключ и софтуер, като криптиране на BitLocker диск, данните могат да бъдат блокирани, докато определени условия на хардуер или софтуер.

Използване на TPM затворен части на основните двойки се съхраняват отделно от паметта контролира от операционната система. Ключовете могат да бъдат запечатани с TPM, и е възможно да се извършат някои проверки на състоянието на системата преди да се използва и за отпечатване на резолюция (гаранции, които определят надеждността на системата). Модулът TPM използва свои собствени вътрешни фърмуер и логически схеми за обработка на инструкции, така че не разчита на операционната система и не е изложена на рисковете, свързани с операционната система и приложния софтуер.

За Windows и TPM версия см съвместимост. В Обзор TPM технология. Особености предлага във варианти са определени в спецификациите на организацията TCG. За повече информация, моля посетете TPM обслужване на уебсайта на организацията TCG на :. модул за надеждна платформа.

Следващите раздели съдържат преглед на технологии, които поддържат TPM.

Следващият раздел разглежда TPM услуга, която може да се управлява централно чрез настройките за поверителност Група:

Автоматична подготовка и управление на TPM

обучение TPM може да бъде опростен, за да се улесни въвеждането на системи, готови за BitLocker и други зависими функции TPM. Тези подобрения обхващат опростяване TPM държавен модел, който да информира за това състояние на готовност. Готов с ограничена функционалност или не е готова. Можете също така автоматично се подготвят за надеждна платформа модули в състояние на готовност. отдалечени изисквания за обучение за премахване на физическото присъствие на техник по време на първоначалното внедряване. В допълнение, TPM стека наличен в Windows PE (Windows PE).

Измерено натоварване подкрепа за сертифициране

Функцията на измерената натоварване осигурява анти-зловредния софтуер от сигурни списание (устойчив на фалшифициране и незаконно промени) всички компоненти на изтегляне. Antimalware софтуер може да се използва дневника, за да се определи дали да се доверят на работещи с предишни компоненти, независимо дали те са заразени със злонамерен софтуер. Този софтуер може да изпрати трупи към измерената натоварването на отдалечения сървър за оценка. Отдалеченият сървър може да започне корекция на действие, да взаимодейства с програмата на клиента или чрез договорености на свободна практика, ако е необходимо.

магазина сертификат въз основа на TPM

TPM може да се използва за защита на сертификатите и ключовете RSA. TPM хранилище доставчик предоставя лесен и удобен за използване на TPM, като начин за осигуряване на защита на частни ключове. KSP TPM може да се използва за генериране на ключове в организацията на регистрация за сертификати. KSP се контролира от шаблони в потребителския интерфейс. TPM също може да се използва за защита на сертификата, внесени от външен източник. Сертификати на базата на TPM може да се използва като стандарт сертификати с допълнителни функции, удостоверение никога да напусне TPM, в която са били създадени ключовете. Сега TPM може да се използва за криптографски операции с използване на следващото поколение на криптиране API-интерфейс (CNG). За повече информация, вижте Encryption API интерфейс. Следващото поколение.

На ключ на системния регистър: HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ TPM

TPM кратки команди

Ако скриптове и управление на компютри с помощта на PowerShell, сега управлява TPM да използвате Windows PowerShell. За да инсталирате TPM кратки команди използвайте следната команда:

уволнения / онлайн / активирате-функция / FeatureName: с TPM PSH-кратки команди

Подробна информация за отделни кратки команди, вижте. В секцията TPM кратки команди в Windows PowerShell.

Интерфейс физическо присъствие

TCG спецификация организация за TPM изисква физическо присъствие в извършването на определени административни функции на TPM, като например TPM включен или изключен. Физическо присъствие означава, че човек трябва физически да си взаимодействат със системата и интерфейса на TPM за потвърждаване или отхвърляне на промените в състоянието TPM. Като правило, такива действия не могат да бъдат автоматизирани, използвайки скриптове или други инструменти за автоматизация, ако не сложите на определено производител на оборудване. По-долу са примери за TPM административни задачи, които изискват физическо присъствие.

• Активиране на TPM
• Премахване на съществуващата информация собственик на TPM без парола от собственика
• Деактивирането на TPM
• Деактивирането на TPM на време, без парола от собственика

Стоейки в TPM на присъствие

За всяко от тези състояния е присъствие TPM 1.2 TPM модул може да се премести в друга състояние (например, от край до по). Членки не са взаимно изключващи се.

Тези условия не се прилагат за присъствието на TPM 2.0, тъй като тя не може да бъде изключен от околната среда на операционната система.

Заявленията, които не могат да използват TPM да отидат "на" държавна "активен" и "има собственик." Всички операции са достъпни само когато TPM е в това състояние.

Статус TPM съществува независимо от операционната система на компютъра. Когато TPM е активиран, активен и има собственик, състоянието на TPM се запазва, когато преинсталирате операционната система.

ключове за потвърждение

TPM модул, за да се използва от голямо доверие Заявлението трябва да съдържа ключа за потвърждение, представляващ двойка ключове RSA. Затворената част на двойката ключове е вътре в TPM, никога няма да бъде разкрита или достъпни извън TPM. Ако TPM не съдържа ключ одобрение, заявлението може да започне автоматично създаване на TPM, като част от процеса на инсталиране.

ключ одобрение могат да бъдат създадени в различни моменти от жизнения цикъл на TPM, но само веднъж по време на целия период на експлоатация на TPM. Наличността на основни потвърждение е необходимо, преди приемането на право на собственост TPM.

ключ за сертифициране

ключ за сертифициране TPM позволява на СО да се провери, че частният ключ наистина защитени TPM и TPM модул е ​​този, който се ползва с доверието на сертифициращ орган. Ключовете за потвърждение, че признати като приемлива, могат да бъдат използвани за свързване на самоличността на потребителя на устройството. В допълнение, потребителския сертификат от одобрена от ключово TPM осигурява повишена сигурност гаранция, предоставена от забраната за износ, опозицията към избора на пароли и ключове изолация, предоставена от TPM.

Как TPM осигурява защита срещу грубата сила речникови атаки

Поведението на груба сила атака срещу TPM 2.0 Dictionary

TPM 2.0 има ясно определена логика на груба сила речникови атаки. За разлика от TPM 1.2, за които логиката на грубите нападки сили, речника е бил инсталиран от производителя и се различава значително в индустрията.

За този раздел е сертифициран хардуер за Windows 8 също се отнася до системи за Windows 8.1. Следните връзки на прозорците обхващат поддържа версия на Windows.

Логиката на груба сила речникови атаки към модул TPM 2.0 Ние веднага може да бъде напълно нулира чрез изпращане на команда за нулиране, за да заключите модул TPM и въведете паролата на собственика TPM. По подразбиране, Windows автоматично подготвя TPM 2.0 Ние правим и поддържа паролата на собственика TPM да се използва от системните администратори.

Логиката на стандартния за Windows 8.1 и Windows 8 степени

Windows използва груба сила защита атака за TPM 2.0 речник за множество компоненти. Стойностите по подразбиране са избрани, за да се балансира на изискванията за Windows 8 в най-различни сценарии.

Например, когато се използва BitLocker с TPM и ПИН конфигурации с течение на времето трябва да се ограничи броя на ПИН борби. Ако компютърът е изгубен, а след това на трета страна може да направи само 32 последователни опити за съвпадение на ПИН-кода и след това направи един опит на всеки 2 часа. Това прави 4415 година на догадки. Това е добър показател за администраторите, за да може да се определи колко герои ПИН-код, използван за разполагане на BitLocker.

Производителите на оборудване и софтуерни разработчици са в състояние да използвате функциите на TPM сигурност за решаване на собствените си проблеми.

заключване праг от 32 грешки избран, тъй като потребителите рядко блокира TPM (дори когато преподавам въвеждането на нови пароли, или когато част от заключване / отключване компютри). Ако потребителите заключите TPM, трябва да изчакате 2 часа или да използвате други идентификационни данни, като потребителско име и парола.

Как да проверите състоянието на TPM?

Можете да проверите състоянието на TPM на компютъра чрез стартиране на модула в Trusted Platform Module (tpm.msc). Състояние в заглавието показва статуса на TPM. Модулът TPM може да съществува в една от следните държави: готова за използване. Готов за употреба с ограничена функционалност и не е готова за употреба. За да извлечете максимума от TPM функционалност в Windows 10, TPM модул трябва да бъде готов за употреба.

Функционалността на TPM в режим на намалена функционалност

Ако TPM е в режим на намалена функционалност, някои компоненти, които използват TPM, няма да работи коректно. Обикновено това се дължи на изпълнението на новата Windows 10 инсталиране на устройството, където е инсталиран преди това система е Windows 8.1, Windows или Windows 7, 8 на същия хардуер. Ако TPM е в режим на намалена функционалност, заглавието "Състояние" моментна Trusted Platform Module TPM изглежда готов да се използва в режим на намалена функционалност. Това може да се поправи, като изчистите TPM.

Отваряне на модула в Trusted Platform Module (tpm.msc).

Кликнете върху Изчистване на TPM. и след това върху Рестартиране.

Когато компютърът се рестартира, той може да бъде помолен да натиснете клавиш от клавиатурата, за почистване на TPM.

След рестартиране на компютъра, на TPM ще бъде изготвен автоматично за ползване от Windows 10 система.

допълнителни ресурси

Свързани статии

• Изтегляне BumpTop за прозорци за настолни промени в стая 3d

• Персонализиране на лентата с инструменти от XP на Windows - за поддръжка на потребителите на Windows XP 7-

• Грешка при изпълнението на програмните прозорци 2018