Grundlagen zu Trusted Platform Module

  • Artikel

In diesem Thema für IT-Experten werden die TPM (Trusted Platform Module)-Komponenten (TPM 1.2 und TPM 2.0) beschrieben. Außerdem wird erläutert, wie sie die Risiken von Wörterbuchangriffen mindern können.

Ein Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen bietet, die hauptsächlich auf Verschlüsselungsschlüsseln basieren. Das TPM ist normalerweise auf der Hauptplatine eines Computers installiert und kommuniziert über einen Hardwarebus mit dem übrigen System.

Computer mit einem TPM können Kryptografieschlüssel generieren und so verschlüsseln, dass sie nur durch das TPM wieder entschlüsselt werden können. Dieser Vorgang, der häufig als „Schlüsselverschlüsselung“ oder „Binden“ eines Schlüssels bezeichnet wird, kann ein Offenlegen des Schlüssels verhindern. Jedes TPM verfügt über einen Masterschlüssel zur Verschlüsselung, der als Storage Root Key bezeichnet und im TPM selbst gespeichert wird. Der private Teil eines im TPM erstellten Storage Root Key oder Endorsement Key wird niemals gegenüber einer anderen Komponente bzw. Software, Prozessen oder Benutzern offengelegt.

Sie können angeben, ob die vom TPM erstellten Verschlüsselungsschlüssel migriert werden können oder nicht. Wenn Sie angeben, dass eine Migration möglich ist, können der öffentliche und private Teil des Schlüssels für andere Komponenten sowie für Software, Prozesse und Benutzer offengelegt werden. Wenn Sie angeben, dass Verschlüsselungsschlüssel nicht migriert werden können, wird der private Teil des Schlüssels niemals außerhalb des TPMs offengelegt.

Computer mit integriertem TPM können auch einen Schlüssel erstellen, der nicht nur doppelt verschlüsselt, sondern auch an bestimmte Plattformmaße gebunden ist. Diese Art von Schlüssel kann nur dann entschlüsselt werden, wenn die Plattformmaße dieselben Werte wie bei der Erstellung des Schlüssels aufweisen. Dieser Vorgang wird als „Versiegeln des Schlüssels im TPM“ bezeichnet. Das Entschlüsseln des Schlüssels wird „Aufheben der Versiegelung“ genannt. Das TPM kann auch außerhalb von ihm generierte Daten versiegeln bzw. deren Versiegelung aufheben. Mit diesem versiegelten Schlüssel und einer Software wie der BitLocker-Laufwerkverschlüsselung können Sie Daten sperren, bis bestimmte Hardware- oder Softwarebedingungen erfüllt sind.

Mit einem TPM bleiben die privaten Teile von Schlüsselpaaren von dem vom Betriebssystem gesteuerten Arbeitsspeicher getrennt. Schlüssel können im TPM versiegelt werden. Bevor deren Versiegelung aufgehoben und sie für die Verwendung freigegeben werden, können bestimmte Zusicherungen zum Systemstatus gemacht werden, die die „Vertrauenswürdigkeit“ eines Systems bestimmen. Da das TPM über eigene interne Firmware und logische Schaltungen zum Verarbeiten von Anweisungen verfügt, ist es nicht vom Betriebssystem abhängig und keinen Sicherheitsrisiken im Betriebssystem oder der Anwendungssoftware ausgesetzt.

Informationen dazu, welche TPM-Versionen von welchen Windows-Versionen unterstützt werden, finden Sie unter Trusted Platform Module – Technologieübersicht. Die in den Versionen verfügbaren Features sind in den Spezifikationen der Trusted Computing Group (TCG) definiert. Weitere Informationen finden Sie auf die Seite zum Trusted Platform Module der Trusted Computing Group-Website: Trusted Platform Module.

Die folgenden Abschnitte bieten eine Übersicht über die Technologien, die das TPM unterstützen:

  • TPM-basierte virtuelle Smartcard

  • Kontrollierter Start mit Unterstützung für Nachweise

  • Automatisierte Bereitstellung und Verwaltung des TPMs

  • TPM-basierter Zertifikatspeicher

  • Physische Anwesenheitsschnittstelle

  • TPM-Cmdlets

  • Wert für die TPM-Besitzerautorisierung

  • Existente Zustände in einem TPM

  • Endorsement Keys

  • TPM-Schlüsselnachweis

  • Wie das TPM Wörterbuchangriffe verringert

  • Wie überprüfe ich den Zustand meines TPMs?

  • Was kann ich tun, wenn sich das TPM im Modus mit eingeschränkter Funktionalität befindet?

In den folgenden Themen werden die TPM-Dienste beschrieben, die mithilfe von Gruppenrichtlinieneinstellungen zentral gesteuert werden können:

Gruppenrichtlinieneinstellungen für Trusted Platform Module-Dienste

Automatisierte Bereitstellung und Verwaltung des TPMs

Die TPM-Bereitstellung kann optimiert werden, um die Bereitstellung von Systemen zu vereinfachen, die für BitLocker und andere TPM-abhängige Features geeignet sind. Zu den Erweiterungen gehören u. a. die Vereinfachung des TPM-Zustandsmodells, um Zustände wie z. B. Bereit, Bereit mit eingeschränkter Funktionalität oder Nicht bereit zu melden. Sie können TPMs im Zustand Bereit auch automatisch bereitstellen. Durch die Remotebereitstellung ist es nicht nötig, dass bei der Erstbereitstellung ein Techniker anwesend ist. Darüber hinaus ist der TPM-Stapel in der Windows Preinstallation Environment (Windows PE) verfügbar.

Zur einfacheren Verwaltung und Konfiguration des TPMs mithilfe von Gruppenrichtlinien wurden einige Verwaltungseinstellungen hinzugefügt. Zu den primären neuen Einstellungen gehören die Active Directory-basierte Sicherung der TPM-Besitzerauthentifizierung, die Ebene der Besitzerauthentifizierung, die lokal im TPM gespeichert werden sollte, und die softwarebasierten TPM-Sperreinstellungen für Standardbenutzer. Weitere Informationen zum Sichern der Besitzerauthentifizierung in Windows Server 2008 R2 AD DS-Domänen finden Sie unter AD DS-Schemaerweiterungen zur Unterstützung der TPM-Sicherung.

Kontrollierter Start mit Unterstützung für Nachweise

Das Feature für den kontrollierten Start bietet Antischadsoftware mit einem vertrauenswürdigen (Spoofing- und manipulationssicheren) Protokoll aller Startkomponenten. Antischadsoftware kann anhand des Protokolls feststellen, ob vor ihr ausgeführte Komponenten vertrauenswürdig oder mit Schadsoftware infiziert sind. Sie können die Protokolle für den kontrollierten Start auch zur Auswertung an einen Remoteserver senden. Der Remoteserver kann Wartungsaktionen initiieren, indem er ggf. mit Software auf dem Client interagiert oder Out-of-band-Mechanismen einsetzt.

TPM-basierte virtuelle Smartcard

Die virtuelle Smartcard emuliert die Funktionalität herkömmlicher Smartcards. Virtuelle Smartcards nutzen jedoch den auf Unternehmenscomputern verfügbaren TPM-Chip. So ist weder eine separate physische Smartcard noch ein Leser erforderlich. Auf diese Weise reduzieren sich deutlich die Verwaltungs- und Bereitstellungskosten für Smartcards. Für Endbenutzer ist die virtuelle Smartcard auf dem Computer immer verfügbar. Benötigt ein Benutzer mehr als einen Computer, muss für jeden Benutzer und jeden Computer eine virtuelle Smartcard ausgestellt werden. Ein Computer, der von mehreren Benutzern gemeinsam genutzt wird, kann mehrere virtuelle Smartcards hosten, und zwar eine für jeden Benutzer.

TPM-basierter Zertifikatspeicher

Das TPM kann zum Schutz von Zertifikaten und RSA-Schlüsseln verwendet werden. Der TPM-Schlüsselspeicheranbieter (Key Storage Provider, KSP) bietet eine einfache und bequeme Möglichkeit, das TPM für den verstärkten Schutz privater Schlüssel einzusetzen. Mit dem TPM-KSP können Schlüssel generiert werden, wenn eine Organisation Zertifikate registriert und der KSP durch Vorlagen in der Benutzeroberfläche verwaltet wird. Das TPM kann auch zum Schutz von Zertifikaten verwendet werden, die aus einer externen Quelle importiert werden. TPM-basierte Zertifikate können genauso wie Standardzertifikate verwendet werden, bieten jedoch den zusätzlichen Nutzen, dass das Zertifikat niemals vom TPM getrennt wird, durch das die Schlüssel generiert wurden. Das TPM kann jetzt für Kryptografievorgänge über Cryptography API: Next Generation (CNG) verwendet werden. Weitere Informationen finden Sie unter Cryptography API: Next Generation.

Wert für die TPM-Besitzerautorisierung

Für Windows 8 wurde im AD DS-Schema eine Änderung im Hinblick darauf implementiert, wie der Wert für die TPM-Besitzerautorisierung in AD DS gespeichert wird. Der Wert für die TPM-Besitzerautorisierung wird jetzt in einem separaten Objekt gespeichert, das mit dem Computer-Objekt verknüpft ist. Für Windows Server 2008 R2-Standardschemas wurde dieser Wert als Eigenschaft im Computer-Objekt selbst gespeichert. Windows Server 2012-Domänencontroller verfügen über das Standardschema zum Sichern der TPM-Besitzerautorisierungsinformationen im separaten Objekt. Wenn Sie für Ihren Domänencontroller kein Upgrade auf Windows Server 2012 ausführen, müssen Sie das Schema erweitern, damit diese Neuerung unterstützt wird. Wenn die Active Directory-Sicherung des TPM-Besitzerautorisierungswerts in einer Windows Server 2008 R2-Umgebung aktiviert ist, ohne dass das Schema erweitert wird, verursacht die TPM-Bereitstellung einen Fehler, und das TPM verbleibt bei Computern mit Windows 8 im Zustand „Nicht bereit“.

Wenn Ihr Computer keiner Domäne angehört, wird der TPM-Besitzerautorisierungswert in der Registrierung des lokalen Computers gespeichert. Wenn BitLocker zum Verschlüsseln des Betriebssystemlaufwerks verwendet wird, ist der Besitzerautorisierungswert vor Offenlegung geschützt, während sich der Computer im Ruhezustand befindet. Allerdings besteht das Risiko, dass sich ein böswilliger Benutzer Zugriff auf den TPM-Besitzerautorisierungswert verschafft, wenn der Computer nicht gesperrt ist. In diesem Fall wird empfohlen, den Computer so zu konfigurieren, dass er nach 30 Sekunden der Inaktivität automatisch gesperrt wird. Wenn keine automatische Sperrung verwendet wird, sollten Sie die vollständige Besitzerautorisierung u. U. aus der Computerregistrierung entfernen.

Registrierungsinformationen

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM

DWORD: OSManagedAuthLevel

Wertdaten Einstellung

0

Keine

2

Delegiert

4

Vollständig

 

Hinweis  

Wenn die durch das Betriebssystem verwaltete TPM-Authentifizierungseinstellung von „Vollständig“ in „Delegiert“ geändert wird, wird der vollständige TPM-Besitzerautorisierungswert erneut generiert, und alle Kopien des ursprünglichen TPM-Besitzerautorisierungswerts werden ungültig. Wenn Sie den TPM-Besitzerautorisierungswert in AD DS sichern, wird der neue Besitzerautorisierungswert automatisch in AD DS gesichert, sobald er sich ändert.

 

TPM-Cmdlets

Wenn Sie PowerShell für die Skripterstellung und Verwaltung Ihrer Computer verwenden, können Sie das TPM jetzt auch mithilfe von Windows PowerShell verwalten. Verwenden Sie zum Installieren der TPM-Cmdlets den folgenden Befehl:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Weitere Informationen zu den einzelnen Cmdlets finden Sie unter TPM-Cmdlets in Windows PowerShell.

Physische Anwesenheitsschnittstelle

Die TCG-Spezifikationen für TPMs erfordern zur Ausführung einiger TPM-Verwaltungsfunktionen die physische Anwesenheit einer Person, z. B. für das Einschalten und Ausschalten des TPMs. „Physische Anwesenheit“ bedeutet, dass jemand physisch mit dem System und der TPM-Schnittstelle interagieren muss, um Änderungen des TPM-Status zu bestätigen oder abzulehnen. Diese Aufgabe kann normalerweise nicht durch Skripts oder andere Automatisierungstools automatisiert werden, es sei denn, der jeweilige OEM stellt solche Tools bereit. Im Folgenden einige Beispiele für TPM-Verwaltungsaufgaben, die eine physische Anwesenheit erfordern:

  • Aktivieren des TPMs
  • Löschen vorhandener Besitzerinformationen aus dem TPM ohne Kennwort des Besitzers
  • Deaktivieren des TPMs
  • Vorübergehendes Deaktivieren des TPMs ohne das Kennwort des Besitzers

Existente Zustände in einem TPM

Das TPM kann für jeden dieser existenten TPM 1.2-Zustände in einen anderen Zustand übergehen (z. B. von ausgeschaltet zu eingeschaltet). Die Zustände schließen sich nicht gegenseitig aus.

Für Trusted Platform Module 2.0 gelten diese existenten Zustände nicht, da es nicht innerhalb der Betriebssystemumgebung deaktiviert werden kann.

Zustand Beschreibung

Aktiviert

Die meisten Features des TPMs sind verfügbar.

Das TPM kann innerhalb eines Startzeitraums mehrfach aktiviert und deaktiviert werden, wenn der Besitz übernommen wird.

Deaktiviert

Das TPM schränkt die meisten Vorgänge ein. Zu den Ausnahmen gehören die Fähigkeit, TPM-Funktionen zu melden, Funktionen des Plattformkonfigurationsregisters zu erweitern und zurückzusetzen sowie Hashing- und grundlegende Initialisierungsvorgänge auszuführen.

Das TPM kann innerhalb eines Startzeitraums mehrfach ein- und ausgeschaltet werden.

Aktiviert

Die meisten Features des TPMs sind verfügbar. Das TPM kann nur bei physischer Anwesenheit einer Person aktiviert und deaktiviert werden. Dies erfordert einen Neustart.

Deaktiviert

Ähnelt dem ausgeschalteten Zustand mit der Ausnahme, dass der Besitz übernommen werden kann, wenn das TPM deaktiviert und aktiviert wird. Das TPM kann nur bei physischer Anwesenheit einer Person aktiviert und deaktiviert werden. Dies erfordert einen Neustart.

Besitzer

Die meisten Features des TPMs sind verfügbar. Das TPM verfügt über einen Endorsement Key und Storage Root Key, und Informationen zu den Besitzerautorisierungsdaten sind dem Besitzer bekannt.

Nicht-Besitzer

Das TPM weist keinen Storage Root Key auf und kann über einen Endorsement Key verfügen oder nicht.

 

Wichtig  

Anwendungen können das TPM erst verwenden, wenn sie sich in einem eingeschalteten, aktivierten und Besitzerzustand befinden. Alle Vorgänge sind nur verfügbar, wenn das TPM diesen Zustand aufweist.

 

Der Zustand des TPMs ist unabhängig vom Computerbetriebssystem. Wenn das TPM eingeschaltet und aktiviert ist und einen Besitzer aufweist, wird der TPM-Zustand bei der Neuinstallation des Betriebssystems beibehalten.

Endorsement Keys

Damit ein TPM von einer vertrauenswürdigen Anwendung verwendet werden kann, muss sie einen Endorsement Key enthalten, der einem RSA-Schlüsselpaar entspricht. Die private Hälfte des Schlüsselpaars befindet sich innerhalb des TPMs und wird niemals außerhalb des TPMs offengelegt oder verfügbar gemacht. Wenn das TPM keinen Endorsement Key enthält, kann die Anwendung das TPM dazu veranlassen, im Rahmen des Setups automatisch einen Endorsement Key zu generieren.

Ein Endorsement Key kann an verschiedenen Punkten im Lebenszyklus des TPMs erstellt werden, darf während der Lebensdauer des TPMs jedoch nur einmal erstellt werden. Damit der Besitz des TPMs übernommen werden kann, muss ein Endorsement Key vorhanden sein.

Schlüsselnachweis

Mithilfe des TPM-Schlüsselnachweises kann eine Zertifizierungsstelle sicherstellen, dass ein privater Schlüssel tatsächlich durch ein TPM geschützt wird und dass die Zertifizierungsstelle das TPM als vertrauenswürdig einstuft. Als gültig bestätigte Endorsement Keys können verwendet werden, um die Benutzeridentität an ein Gerät zu binden. Darüber hinaus gewährleistet das Benutzerzertifikat mit einem durch das TPM bestätigten Schlüssel höhere Sicherheit, da die von einem TPM bereitgestellten Schlüssel nicht exportiert werden können, isoliert sind und vor Hammering-Angriffen (Angriff durch schnelle Wiederholung der Anmeldedateneingabe) geschützt sind.

Wie das TPM Wörterbuchangriffe verringert

Die Befehlsverarbeitung durch das TPM erfolgt in einer geschützten Umgebung, z. B. durch einen dedizierten Microcontroller auf einem diskreten Chip oder in einem speziellen hardwaregeschützten Modus auf der Haupt-CPU. Ein TPM kann zum Erstellen eines Kryptografieschlüssels verwendet werden, der außerhalb des TPMs nicht offengelegt wird, im TPM aber verwendet werden kann, nachdem der richtige Autorisierungswert angegeben wurde.

TPMs verfügen über Logik gegen Wörterbuchangriffe. Sie soll Brute-Force-Angriffe verhindern, bei denen versucht wird, Autorisierungswerte zur Verwendung eines Schlüssels zu ermitteln. Das TPM lässt grundsätzlich nur eine begrenzte Anzahl von Autorisierungsfehlern zu. Alle weiteren Versuche, Schlüssel zu verwenden, werden verhindert und eine Sperrung aktiviert. Da die Bereitstellung eines Fehlerzählers für einzelne Schlüssel technisch nicht sinnvoll ist, verhängen TPMs eine globale Sperre, wenn zu viele Autorisierungsfehler auftreten.

Da das TPM von vielen Entitäten genutzt werden kann, ist es nicht möglich, dessen Logik gegen Wörterbuchangriffe durch eine einzelne erfolgreiche Autorisierung zurückzusetzen. Dies hindert Angreifer daran, einen Schlüssel mit einem bekannten Autorisierungswert zu erstellen und zum Zurücksetzen der TPM-Logik gegen Wörterbuchangriffe zu verwenden. TPMs sind im Allgemeinen so ausgelegt, dass Autorisierungsfehler nach einem bestimmten Zeitraum verworfen werden, sodass das TPM nicht unnötig in einen Sperrzustand eintritt. Die Sperrlogik eines TPMs kann mit einem TPM-Besitzerkennwort zurückgesetzt werden.

Verhalten von TPM 2.0 bei Wörterbuchangriffen

Die TPM 2.0-Logik gegen Wörterbuchangriffe weist ein klar definiertes Verhalten auf. Dies steht im Gegensatz zu TPM 1.2. Für dieses Modul wurde die Logik gegen Wörterbuchangriffe vom Hersteller implementiert, was branchenweit zu zahlreichen Variationen geführt hat.

Warnung  

„Für Windows 8 zertifizierte Hardware“ bezieht sich im Rahmen dieses Themas auch auf Windows 8.1-Systeme. Die folgenden Verweise auf „Windows“ umfassen diese unterstützten Windows-Versionen.

 

Bei Hardwaresystemen, die für Windows 8 zertifiziert sind und über TPM 2.0 verfügen, wird das TPM von Windows wie folgt konfiguriert: Nach 32 Autorisierungsfehlern wird eine Sperre aktiviert, und alle zwei Stunden wird ein Autorisierungsfehler verworfen. Dies bedeutet, dass ein Benutzer innerhalb kurzer Zeit 32 Mal versuchen kann, einen Schlüssel mit dem falschen Autorisierungswert zu verwenden. Das TPM zeichnet für jeden der 32 Versuche auf, ob der Autorisierungswert richtig oder falsch war. Dadurch wechselt das TPM nach 32 fehlgeschlagenen Versuchen unbeabsichtigt in einen Sperrzustand.

In den nächsten beiden Stunden wird beim Versuch, einen Schlüssel mit einem Autorisierungswert zu verwenden, weder eine Erfolgs- noch eine Fehlermeldung zurückgegeben. Die Antwort gibt stattdessen an, dass das TPM gesperrt ist. Nach zwei Stunden wird ein Autorisierungsfehler verworfen, und die Anzahl der im TPM gespeicherten Autorisierungsfehler verringert sich auf 31. Folglich beendet das TPM den Sperrzustand und nimmt wieder den normalen Betrieb auf. Wenn in den nächsten zwei Stunden keine Autorisierungsfehler auftreten, könnten Schlüssel mit dem richtigen Autorisierungswert ordnungsgemäß verwendet werden. Nach 64 Stunden ohne Autorisierungsfehler sind im TPM keine Autorisierungsfehler mehr gespeichert, sodass 32 neue Fehlversuche möglich sind.

Für die Windows 8-Zertifizierung ist es nicht erforderlich, dass TPM 2.0-Systeme Autorisierungsfehler verwerfen, wenn das System vollständig ausgeschaltet oder in den Ruhezustand versetzt wurde. Windows erfordert, dass Autorisierungsfehler verworfen werden, wenn das System im normalen Modus, in einem Ruhezustand oder einem Zustand mit geringem Energieverbrauch ausgeführt, aber nicht ausgeschaltet wird. Wenn ein Windows-System mit TPM 2.0 gesperrt ist, beendet das TPM den Sperrmodus, nachdem das System zwei Stunden eingeschaltet war.

Die TPM 2.0-Logik gegen Wörterbuchangriffe kann sofort vollständig zurückgesetzt werden, indem ein Befehl zum Zurücksetzen der Sperre zusammen mit dem TPM-Besitzerkennwort an das TPM gesendet wird. Standardmäßig stellt Windows automatisch TPM 2.0 bereit und speichert das TPM-Besitzerkennwort, damit es von Systemadministratoren verwendet werden kann.

In einigen Unternehmensszenarien ist der TPM-Besitzerautorisierungswert so konfiguriert, dass er zentral in Active Directory und nicht im lokalen System gespeichert wird. Ein Administrator kann die TPM-MMC starten und die TPM-Sperrungszeit zurücksetzen. Wenn das TPM-Besitzerkennwort lokal gespeichert ist, wird es zum Zurücksetzen der Sperrungszeit verwendet. Wenn das TPM-Besitzerkennwort im lokalen System nicht verfügbar ist, muss es vom Administrator angegeben werden. Wenn ein Administrator versucht, den TPM-Sperrzustand mit dem falschen TPM-Besitzerkennwort zurückzusetzen, lässt das TPM erst nach 24 Stunden einen weiteren Versuch zu, den Sperrzustand zurückzusetzen.

Bei Verwendung von TPM 2.0 können einige Schlüssel ohne zugeordneten Autorisierungswert erstellt werden. Diese Schlüssel können verwendet werden, wenn das TPM gesperrt ist. Beispielsweise kann BitLocker mit einer standardmäßigen Nur-TPM-Konfiguration im TPM einen Schlüssel zum Starten von Windows verwenden. Dies gilt selbst dann, wenn das TPM gesperrt ist.

Begründung der Standardwerte für Windows 8.1 und Windows 8

Viele Windows-Features werden mithilfe von TPM 2.0 vor Wörterbuchangriffen geschützt. Die für Windows 8 gewählten Standardwerte stellen einen ausgewogenen Kompromiss zwischen unterschiedlichen Szenarien dar.

Wenn BitLocker beispielsweise mit einem TPM und einer PIN-Konfiguration verwendet wird, muss die Anzahl der PIN-Rateversuche im Laufe der Zeit beschränkt werden. Wenn der Computer verloren geht, kann eine Person unmittelbar nur 32 PIN-Rateversuche unternehmen und dann alle zwei Stunden einen weiteren Versuch. Dies ergibt insgesamt etwa 4415 Rateversuche pro Jahr. Systemadministratoren erhalten so einen guten Anhaltspunkt dafür, wie viele PIN-Zeichen für BitLocker-Bereitstellungen verwendet werden sollten.

Die Windows-TPM-basierte Smartcard ist eine virtuelle Smartcard, die für die Systemanmeldung konfiguriert werden kann. Im Gegensatz zu physischen Smartcards wird beim Anmeldevorgang ein TPM-basierter Schlüssel mit einem Autorisierungswert verwendet. In der folgenden Liste sind die Vorteile virtueller Smartcards aufgeführt:

Physische Smartcards können nur eine Sperrung für die eigene PIN erzwingen und die Sperre nach Eingabe der richtigen PIN zurücksetzen. Bei einer virtuellen Smartcard wird der TPM-Wörterbuchangriff nach einer erfolgreichen Authentifizierung nicht zurückgesetzt. Die Anzahl von Autorisierungsfehlern, die zulässig sind, bevor das TPM in den Sperrmodus wechselt, hängt von vielen Faktoren ab.

Hardwarehersteller und Softwareentwickler können die Sicherheitsfeatures des TPMs entsprechend ihren Anforderungen einsetzen.

32 Fehler wurden als Schwellenwert für die Sperrung gewählt, damit das TPM seltener durch Benutzer gesperrt wird (und zwar selbst dann, wenn sie die Eingabe neuer Kennwörter üben oder häufig ihren Computer sperren und entsperren). Wenn Benutzer das TPM sperren, müssen sie zwei Stunden warten oder andere Anmeldeinformationen verwenden, z. B. Benutzernamen und Kennwort, um sich anzumelden.

Wie überprüfe ich den Zustand meines TPMs?

Sie können den Zustand des TPMs auf einem PC überprüfen, indem Sie das Trusted Platform Module-Snap-In („tpm.msc“) ausführen. Unter der Überschrift Status ist der Zustand des TPMs angegeben. Die Zustände des TPMs können etwa wie folgt lauten: Einsatzbereit, Das TPM kann mit eingeschränkter Funktionalität verwendet werden und Nicht einsatzbereit. Zur Nutzung der meisten TPM-Features in Windows 10 muss das TPM Einsatzbereit sein.

Was kann ich tun, wenn sich das TPM im Modus mit eingeschränkter Funktionalität befindet?

Wenn sich das TPM im Modus mit eingeschränkter Funktionalität befindet, sind einige vom TPM abhängige Features nicht funktionsfähig. Die häufigste Ursache dafür ist eine Neuinstallation von Windows 10 auf einem Gerät, auf dem zuvor Windows 8.1, Windows 8 oder Windows 7 auf derselben Hardware installiert war. Im Modus mit eingeschränkter Funktionalität ist im Trusted Platform Module-Snap-In unter der Überschrift „Status“ Das TPM kann mit eingeschränkter Funktionalität verwendet werden angegeben. Sie beheben das Problem, indem Sie das TPM löschen.

Mt431890.wedge(de-de,VS.85).gifSo löschen Sie das TPM

  1. Öffnen Sie das Trusted Platform Module-Snap-In („tpm.msc“).

  2. Klicken Sie auf TPM löschen und dann auf Neu starten.

  3. Beim Neustart des PCs werden Sie möglicherweise aufgefordert, eine Taste auf der Tastatur zu drücken, um das TPM zu löschen.

  4. Nachdem der PC neu gestartet wurde, wird das TPM automatisch für die Verwendung durch Windows 10 vorbereitet.

Hinweis  

Durch das Löschen des TPMs gehen alle TPM-Schlüssel und die durch diese Schlüssel geschützten Daten, z. B. eine virtuelle Smartcard, verloren. Führen Sie diese Prozedur nicht auf einem Gerät, wie einem Arbeits- oder Schul-PC, aus, das Ihnen nicht gehört, ohne dass Sie von Ihrem IT-Administrator ausdrücklich dazu angewiesen wurden.

 

Weitere Ressourcen

Trusted Platform Module – Technologieübersicht

Gruppenrichtlinieneinstellungen für Trusted Platform Module-Dienste

TPM-Cmdlets in Windows PowerShell

Schemaerweiterungen für Windows Server 2008 R2, die die AD DS-Sicherung der TPM-Informationen von Windows 8-Clients unterstützen

TPM-WMI-Anbieter

Vorbereiten Ihrer Organisation für BitLocker: Planung und Richtlinien – TPM-Konfigurationen