Trusted Platform Module (TPM) version 2.0介绍,TPM2.0是什么?

微软Microsoft Edge插件网 3年前 (2021-06-26) 3148次浏览 已收录 0个评论

Windows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入   持续更新!

Trusted Platform Module (TPM) version 2.0介绍,TPM2.0是什么?

适用于

  • Windows 10
  • Windows Server 2016
  • Windows Server 2019
  • Windows 11

这个面向 IT 专业人员的主题介绍了可信平台模块 (TPM) 以及 Windows 如何使用它进行访问控制和身份验证。

功能描述

可信平台模块 (TPM) 技术旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全的加密处理器,旨在执行加密操作。芯片包含多重物理安全机制,具有防篡改功能,恶意软件无法篡改TPM的安全功能。使用 TPM 技术的一些主要优势是您可以:

  • 生成、存储和限制使用加密密钥。
  • 通过使用 TPM 的唯一 RSA 密钥,将 TPM 技术用于平台设备身份验证,该密钥已刻录到自身中。
  • 通过采取和存储安全措施帮助确保平台完整性。

最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用。在系统启动过程中,加载的启动代码(包括固件和操作系统组件)可以被测量并记录在 TPM 中。完整性测量可用作系统如何启动的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。

可以通过多种方式配置基于 TPM 的密钥。一种选择是使基于 TPM 的密钥在 TPM 之外不可用。这有助于缓解网络钓鱼攻击,因为它可以防止在没有 TPM 的情况下复制和使用密钥。还可以将基于 TPM 的密钥配置为需要授权值才能使用它们。如果出现太多不正确的授权猜测,TPM 将激活其字典攻击逻辑并阻止进一步的授权值猜测。

可信计算组 (TCG) 在规范中定义了不同版本的 TPM。有关详细信息,请参阅TCG 网站

使用 Windows 10 自动初始化 TPM

从 Windows 10 开始,操作系统会自动初始化并取得 TPM 的所有权。这意味着在大多数情况下,我们建议您避免通过 TPM 管理控制台TPM.msc配置 TPM 。有一些例外,主要与在 PC 上重置或执行全新安装有关。有关详细信息,请参阅清除 TPM 中的所有密钥。从 Windows Server 2019 和 Windows 10 版本 1809 开始,我们不再积极开发 TPM 管理控制台

在仅限于 Windows 10 版本 1507 和 1511 的某些特定企业方案中,组策略可能用于备份 Active Directory 中的 TPM 所有者授权值。由于 TPM 状态跨操作系统安装持续存在,因此此 TPM 信息存储在 Active Directory 中与计算机对象分开的位置。

实际应用

可以在使用 TPM 的计算机上安装或创建证书。设置计算机后,证书的 RSA 私钥绑定到 TPM 且无法导出。TPM 还可用作智能卡的替代品,从而降低与创建和支付智能卡相关的成本。

TPM 中的自动配置降低了企业中 TPM 部署的成本。用于 TPM 管理的新 API 可以确定 TPM 配置操作是否需要服务技术人员在场以在启动过程中批准 TPM 状态更改请求。

反恶意软件可以使用操作系统启动状态的启动测量来证明运行 Windows 10 或 Windows Server 2016 的计算机的完整性。这些测量包括 Hyper-V 的启动以测试使用虚拟化的数据中心没有运行不受信任的虚拟机管理程序。使用 BitLocker 网络解锁,IT 管理员可以推送更新而不必担心计算机正在等待 PIN 输入。

TPM 有多个组策略设置,可能在某些企业方案中有用。有关详细信息,请参阅TPM 组策略设置

新的和改变的功能

有关 Windows 10 中受信任平台模块的新增和更改功能的详细信息,请参阅受信任平台模块中的新增功能?.

设备健康证明

设备运行状况证明使企业能够基于受管设备的硬件和软件组件建立信任。通过设备健康证明,您可以配置 MDM 服务器来查询健康证明服务,该服务将允许或拒绝受管设备访问安全资源。

您可以在设备上检查的一些内容是:

  • 是否支持和启用数据执行保护?
  • 是否支持和启用 BitLocker 驱动器加密?
  • 是否支持和启用 SecureBoot?

 笔记

Windows 10、Windows Server 2016 和 Windows Server 2019 支持使用 TPM 2.0 进行设备健康证明。从 Windows 版本 1607 (RS1) 开始添加了对 TPM 1.2 的支持。TPM 2.0 需要 UEFI 固件。具有旧版 BIOS 和 TPM 2.0 的计算机将无法按预期工作。

设备运行状况证明支持的版本

设备运行状况证明支持的版本
TPM 版本 Windows 10 Windows服务器 2016 Windows服务器 2019
TPM 1.2 >= 1607 版 >= 1607 版 是的
TPM 2.0 是的 是的 是的
下载最新版Windows 11 Pro ISO文件:点击进入   持续更新原装纯净版Win11 

Edge插件网 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Trusted Platform Module (TPM) version 2.0介绍,TPM2.0是什么?
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址