Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Trusted Platform Module – Technologieübersicht

 

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Thema für IT-Experten beschreibt das Trusted Platform Module (TPM) und wie Windows für die Authentifizierung und Zugriffsteuerung verwendet. Das Thema enthält Links zu anderen Ressourcen über das TPM.

Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Crypto-Prozessor, der entwickelt wurde, um kryptografische Vorgänge auszuführen. Der Chip umfasst mehrere physische Sicherheitsmechanismen, um Missbrauch zu erleichtern, und Malware kann die Sicherheitsfunktionen des TPM manipulieren. Einige der wichtigsten Vorteile der Verwendung von TPM-Technologie sind, Sie können:

  • Erstellen Sie, speichern Sie und beschränken Sie die Verwendung von kryptografischen Schlüsseln.

  • Verwenden Sie TPM-Technologie für die Plattform Geräteauthentifizierung mithilfe des TPM eindeutigen RSA Schlüssels, der in selbst geschrieben wird.

  • Gewährleisten Sie Plattformintegrität, indem und Speichern von Sicherheitsmaßnahmen.

Die gängigsten TPM-Funktionen dienen für System Integrity Größenangaben und Schlüssel erstellen und verwenden. Während des Startvorgangs eines Systems kann der Startcode, der geladen wird (einschließlich Firmware und die Komponenten des Betriebssystems) gemessen und im TPM gespeichert werden. Für ein System als Ausgangsbasis und um sicherzustellen, dass ein TPM-basierten Schlüssel wurde nur verwendet, wenn die richtige Software zum Starten des Systems verwendet wurde, können die Integrität Maße als Beweis verwendet werden.

TPM-basierte Schlüssel können auf verschiedene Weise konfiguriert werden. Eine Möglichkeit ist einen TPM-basierten Schlüssel nicht, die außerhalb des TPM zur Verfügung stellen. Das ist gut, Phishing-Angriffe zu verringern, da es verhindert, dass den Schlüssel vom kopiert und ohne TPM verwendet wird. TPM-basierte Schlüssel können auch für die erfordern eines Autorisierungswert deren Verwendung konfiguriert werden. Wenn zu viele falsche Autorisierung geraten auftreten, wird das TPM aktivieren die Dictionary-Angriff Logik und verhindern die weitere Autorisierung Wert geraten.

Verschiedene Versionen des TPM werden in den Spezifikationen von der Trusted Computing Group (TCG) definiert. Weitere Informationen finden Sie in der TCG-Website (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).

DieUnterstützte Versionendes Windows Betriebssystem automatisch bereitstellen und Verwalten des TPM. Gruppenrichtlinien können Steuerelement konfiguriert werden, ob der Autorisierungswert des TPM-Besitzer in Active Directory gesichert ist. Da der TPM-Status für Installationen des Betriebssystems erhalten bleibt, wird TPM-Informationen an einem Speicherort in Active Directory gespeichert, die von Computerobjekten getrennt ist. Je nach Sicherheitsziele des Unternehmens kann der Gruppenrichtlinie zum Zulassen oder verhindern, dass lokale Administratoren beim Zurücksetzen der TPM-Wörterbuch Angriff Logik konfiguriert werden. Standardbenutzer können Sie das TPM, aber Steuerelemente der Gruppenrichtlinie zu beschränken, wie viele Autorisierung Fehler Standardbenutzer versuchen können, so, dass ein Benutzer verhindern, dass andere Benutzer oder der Administrator das TPM kann. TPM-Technologie kann auch als virtuelle Smartcard und zum sicheren Zertifikatspeicher verwendet werden. Mit BitLocker-Netzwerkentsperrung werden nicht die Domäne verbundene Computer für BitLocker-PIN aufgefordert.

Zertifikate können installiert oder auf Computern mit TPM erstellt werden. Nach der Bereitstellung eines Computers, der private RSA-Schlüssel für ein Zertifikat an das TPM gebunden ist, und kann nicht exportiert werden. Das TPM kann auch verwendet werden als Ersatz für Smartcards, die Kosten im Zusammenhang mit der Erstellung und Verwendung von Smartcards gebundenen verringert.

Automatisierte Bereitstellung im TPM reduziert die Kosten der TPM-Bereitstellung in einem Unternehmen. Neue APIs für die TPM-Verwaltung kann feststellen, ob es sich bei Bereitstellung TPM-Aktionen physische Anwesenheit von einem Servicetechniker TPM State Change Requests, die während des Startvorgangs genehmigen müssen.

Antimalware-Software kann die Maße Start des Betriebssystems starten Status verwenden, um die Integrität eines Computers BeweisenWindows 8.1Windows 8Windows Server 2012 R2oderWindows Server 2012. Diese Werte enthalten die Einführung des Hyper-V zu testen, Rechenzentren, Virtualisierung mit nicht vertrauenswürdige Hypervisoren nicht ausgeführt werden. Mit BitLocker-Netzwerkentsperrung können IT-Administratoren ein Update ohne Bedenken übertragen, die ein Computer-PIN-Eingabe wartet.

Das TPM verfügt über mehrere Gruppenrichtlinien verwendet werden können, zu verwalten, wie diese verwendet werden. Diese Einstellung können verwendet werden, der besitzerauthentifizierungswert, der blockierten TPM-Befehle, die Standardbenutzer-Sperre und die Sicherung des TPM in AD DS zu verwalten. Weitere Informationen finden Sie unterTrusted Platform Modul Services Group Policy Settings.

Informationen zu neuen und geänderten Funktionen im TPM fürWindows Server 2012 R2undWindows 8.1finden Sie unterNeues für das TPM in Windows 8.1.

Die folgenden Abschnitte beschreiben die neuen und geänderten Funktionen im TPM fürWindows Server 2012undWindows 8:

Windows Server 2012undWindows 8bieten einer Reihe von Verbesserungen, Rationalisierung TPM-Bereitstellung erleichtern die Systeme bereitstellen, die für BitLocker und anderen TPM-abhängige Features bereit sind. Dazu zählen vereinfachen das TPM Zustandsmodell Berichtbereitmit eingeschränkter Funktionalitätodernicht bereit.Windows Server 2012undWindows 8auch umfassen die automatische Bereitstellung des TPMs in denbereitZustand, die remote-Bereitstellung zum Entfernen der Anforderung für die physische Anwesenheit von einem Techniker bei der ersten Bereitstellung. Darüber hinaus ist der TPM-Stapel in Windows Preinstallation Environment (Windows PE) verfügbar.

Eine Reihe von Management wurden für die leichtere Verwaltung und Konfiguration des TPM über die Gruppenrichtlinie hinzugefügt. Die neuen primären Einstellungen umfassen Active Directory-basierte Sicherung der TPM-Besitzer-Authentifizierung, die Authentifizierungsebene Besitzer, die lokal auf das TPM und die softwarebasierten TPM-Sperre Einstellungen für Standardbenutzer gespeichert werden sollen. Weitere Informationen zum Sichern von Windows Server 2008 R2 AD DS-Domänen Besitzer Authentifizierung finden Sie unterSchemaerweiterungen für WindowsServer 2008 R2 zur Unterstützung von AD DS-Sicherung der TPM-Informationen von Windows 8-clients

Die kontrollierte Start-Funktion bietet Antimalware-Software mit einer vertrauenswürdigen (resistent gegen spoofing und Manipulation) Protokoll aller Boot-Komponenten. Das Protokoll können Antimalware-Software um zu ermitteln, ob die Komponenten, die ausgeführt wurden, bevor es sind im Vergleich zu vertrauenswürdigen mit Malware infiziert. Sie können auch die kontrollierte Start-Protokolle auf einem Remoteserver für die Evaluierung senden. Der Remoteserver kann Wartungsaktionen initiieren, durch die Interaktion mit Software auf dem Client oder über die Out-of-Band-Mechanismen nach Bedarf.

Virtuelle Smartcard emuliert die Funktionalität herkömmlicher Smartcards, aber virtuelle Smartcards verwenden, den TPM-Chip, der auf einer Organisation Computer, anstatt die Verwendung einer separaten physischen Smartcard und eines Smartcardlesers verfügbar ist. Dadurch wird deutlich reduziert, die Verwaltung und die Bereitstellungskosten für die von Smartcards in einem Unternehmen. Virtuelle Smartcard ist für den Endbenutzer immer auf dem Computer verfügbar. Wenn ein Benutzer mehr als einem Computer verwenden muss, muss eine virtuelle Smartcard für den Benutzer für jeden Computer ausgestellt werden. Ein Computer, der von mehreren Benutzern gemeinsam verwendet wird, kann mehrere virtuelle Smartcards, eines für jeden Benutzer hosten.

Weitere Informationen finden Sie unterÜberblick über virtuelle Smartcard.

Das TPM kann verwendet werden, um Zertifikate und RSA-Schlüssel zu schützen.Windows Server 2012enthält einen neuen Schlüsselspeicheranbieter (KSP), einfache und praktische Verwendung des TPM als Möglichkeit, stark Schützen von privaten Schlüsseln bereit. Der KSP TPM kann verwendet werden, um Schlüssel zu generieren, wenn eine Organisation Zertifikate registriert und der KSP von Vorlagen in der Benutzeroberfläche verwaltet wird. Das TPM kann auch verwendet werden, um Zertifikate zu schützen, die aus einer externen Quelle importiert werden. TPM-basierte Zertifikate können genau wie Standardzertifikate mit zusätzlicher Funktionalität verwendet werden, die das Zertifikat nie das TPM lassen kann, aus denen die Schlüssel generiert wurden. Das TPM kann jetzt für Crypto-Vorgänge über Kryptografie-API verwendet werden: Next Generation (CNG). Weitere Informationen finden Sie unterKryptografie-API: Der nächsten Generation.

Für Windows 8 wurde eine Änderung an, wie der Autorisierungswert des TPM-Besitzer in AD DS gespeichert werden in AD DS-Schema implementiert. Der Autorisierungswert des TPM-Besitzer ist jetzt in ein separates Objekt gespeichert, das für das Computerobjekt verknüpft ist. Dieser Wert wurde als Eigenschaft in das Computerobjekt selbst für die Windows Server 2008 R2-Standardschemas gespeichert. Windows Server 2012-Domänencontroller haben das Standardschema backup Autorisierungsinformationen der TPM-Besitzer in separaten Objekt. Wenn Sie Ihren Domänencontroller nicht zu Windows Server 2012 aktualisieren, müssen Sie zum Erweitern des Schemas, um diese Änderung zu unterstützen. Wenn Active Directory-Sicherung von der Autorisierungswert des TPM-Besitzer in einer Umgebung mit Windows Server 2008 R2 aktiviert ist, ohne die Erweiterung des Schemas, die TPM-Bereitstellung fehl, und das TPM verbleiben im Status "nicht bereit" für Computer unter Windows 8.

Wenn der Computer nicht zu einer Domäne angehört wird wird der Autorisierungswert des TPM-Besitzer in der Registrierung des lokalen Computers gespeichert werden. Mit BitLocker zum Verschlüsseln des Laufwerks Betriebssystem wird verhindern, dass der Besitzerautorisierungswert weitergegeben werden, wenn der Computer im Ruhezustand, jedoch ein Risiko besteht, dass ein böswilliger Benutzer die Autorisierung der TPM-Besitzer erhalten Wert, wenn der Computer entsperrt wird. Aus diesem Grund wird empfohlen, in diesem Fall den Computer automatisch sperren nach 30 Sekunden Inaktivität zu konfigurieren. Wenn die automatische Sperre nicht verwendet wird, sollten Sie erwägen, vollständige Besitzerrechte Autorisierung aus der Registrierung des Computers entfernen.

Informationen zur Registrierung

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM

DWORD: OSManagedAuthLevel

Wertdaten

Einstellung

0

NONE

2

Delegiert

4

Vollständig

System_CAPS_noteHinweis

Wenn die Einstellung für das Betriebssystem verwaltete TPM Authentifizierung von geändert wird "Vollständig" zu "Delegierte" die vollständige TPM-besitzerauthentifizierungswert neu generiert und keine Kopien der ursprünglichen TPM-besitzerauthentifizierungswert ist ungültig. Beim Sichern von der Autorisierungswert des TPM-Besitzer in AD DS wird der neue Besitzerautorisierungswert automatisch in AD DS gesichert werden, wenn es geändert wird.

Wenn Sie ein Skript und verwalten Ihre Computer PowerShell verwenden, können Sie jetzt das TPM auch mithilfe von Windows PowerShell verwalten. Verwenden Sie zum Installieren des TPMS Cmdlets den folgenden Befehl aus:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Weitere Informationen zu den einzelnen Cmdlets finden Sie unterTPM-Cmdlets in Windows PowerShell

TPM-version

Windows Server 2012 R2Windows 8.1undWindows RT

Windows Server 2012Windows 8undWindows RT

Windows Server 2008 R2undWindows 7

TPM 1.2

X

X

X

TPM 2.0

X

X

Anzeigen: