Panoramica della tecnologia Trusted Platform Module
Questo argomento, destinato ai professionisti IT, descrive TPM (Trusted Platform Module) e come viene usato da Windows per il controllo di accesso e l'autenticazione. L'argomento include collegamenti ad altre risorse relative al TPM.
Descrizione della caratteristica
La tecnologia di Trusted Platform Module (TPM) è progettata per fornire funzioni correlate alla sicurezza basate su hardware. Un chip TPM è un cryptoprocessor sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisica in grado di proteggerlo da manomissioni; il software dannoso non sarà pertanto in grado di manomettere le funzioni di sicurezza del TPM. Alcuni dei principali vantaggi dell'uso di tecnologia TPM sono elencati di seguito:
Generare, archiviare e limitare l'uso di chiavi di crittografia.
Usare la tecnologia TPM per l'autenticazione dei dispositivi della piattaforma usando la chiave RSA univoca del TPM, che è integrata al suo interno.
Garantire l'integrità della piattaforma mediante l'analisi e l'archiviazione delle misure di sicurezza.
Le funzioni TPM più comuni sono usate per le misurazioni dell'integrità del sistema e per la creazione e l'uso delle chiavi. Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM. Le misurazioni dell'integrità possono essere usate come prova della modalità di avvio di un sistema e per garantire che venga usata una chiave basata sul TPM solo quando viene usato il software corretto per avviare il sistema.
Le chiavi basate sul TPM possono essere configurate in diversi modi. Un'opzione consiste nel non rendere disponibile la chiave basata sul TPM all'esterno del TPM. Questa configurazione è consigliabile per contrastare gli attacchi di phishing perché impedisce la copia della chiave e il conseguente uso senza il TPM. L'uso delle chiavi basate sul TPM può inoltre essere configurate in modo che venga richiesto un valore di autorizzazione. Se si verifica un numero eccessivo di tentativi di autorizzazione errati, il TPM attiverà la propria logica di attacco con dizionario e impedirà ulteriori tentativi di autorizzazione.
Le specifiche delle varie versioni del TPM sono definite da Trusted Computing Group (TCG). Per altre informazioni, consulta il sito Web di TCG (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).
Windows può eseguire automaticamente il provisioning e la gestione del TPM. Le impostazioni di Criteri di gruppo possono essere configurate per controllare se è stato eseguito il backup del valore di autorizzazione del proprietario del TPM in Active Directory. Poiché lo stato del TPM viene conservato tra le installazioni dei sistemi operativi, le informazioni sul TPM sono archiviate in un percorso in Active Directory diverso rispetto a quello degli oggetti computer. A seconda degli obiettivi di sicurezza di un'azienda, i Criteri di gruppo possono essere configurati in modo da consentire o impedire la reimpostazione della logica di attacco con dizionario del TPM da parte degli amministratori locali. Gli utenti standard possono usare il TPM, ma i controlli di Criteri di gruppo limitano il numero di tentativi di autorizzazione che gli utenti standard possono effettuare in modo che un utente non possa impedire ad altri utenti o all'amministratore di usare il TPM. La tecnologia TPM può essere usata anche come smart card virtuale e per l'archiviazione sicura dei certificati. Grazie alla funzionalità di sblocco di rete via BitLocker, ai computer aggiunti al dominio non viene richiesto di immettere un PIN di BitLocker.
Applicazioni pratiche
I certificati possono essere installati o creati nei computer che usano il TPM. Dopo aver eseguito il provisioning di un computer, la chiave privata RSA per un certificato viene associata al TPM e non può essere esportata. Il TPM può essere usato anche in sostituzione di smart card e ciò consente di ridurre i costi associati alla creazione e all'acquisto di smart card.
Il provisioning automatico nel TPM riduce il costo della distribuzione del TPM in un'organizzazione. Le nuove API per la gestione del TPM possono determinare se le azioni di provisioning del TPM richiedono la presenza fisica di un tecnico per approvare richieste di modifica dello stato del TPM durante il processo di avvio.
Il software antimalware può usare le misurazioni di avvio dello stato dell'avvio del sistema operativo per verificare l'integrità di un computer che esegue Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 o Windows Server 2012. Queste misurazioni includono l'avvio di Hyper-V per verificare che i datacenter che usano la virtualizzazione non stiano eseguendo hypervisor non attendibili. La funzionalità di sblocco di rete via BitLocker consente agli amministratori IT di inviare un aggiornamento senza preoccuparsi che un computer stia attendendo l'immissione del PIN.
Il TPM include varie impostazioni di Criteri di gruppo che possono essere usate per gestire come viene usato. Queste impostazioni possono essere usate per gestire il valore di autorizzazione del proprietario, i comandi TPM bloccati, il blocco degli utenti standard e il backup del TPM in Servizi di dominio Active Directory. Per altre info, vedi Servizi Trusted Platform Module - Impostazioni di Criteri di gruppo.
Funzionalità nuove e modificate
Per altre info sulle funzionalità nuove e modificate per TPM (Trusted Platform Module) in Windows 10, vedi Novità di TPM (Trusted Platform Module).
Attestazione dell'integrità dei dispositivi
L'attestazione dell'integrità dei dispositivi consente alle aziende di stabilire il livello di affidabilità basato su componenti hardware e software di un dispositivo gestito. Grazie all'attestazione della integrità dei dispositivi puoi configurare un server MDM per eseguire una query su un servizio di attestazione dell'integrità che consenta o neghi l'accesso a una risorsa protetta da parte di un dispositivo gestito.
Ecco alcune cose che puoi controllare nel dispositivo:
- La funzionalità Protezione esecuzione programmi è supportata e abilitata?
- La funzionalità Crittografia unità BitLocker è supportata e abilitata?
- La funzionalità SecureBoot è supportata e abilitata?
Nota Il dispositivo deve eseguire Windows 10 e deve supportare almeno TPM 2.0.
Versioni supportate
| Versione TPM | Windows 10 | Windows Server 2012 R2, Windows 8.1 e Windows RT | Windows Server 2012, Windows 8 e Windows RT | Windows Server 2008 R2 e Windows 7 |
|---|---|---|---|---|
TPM 1.2 |
X |
X |
X |
X |
TPM 2.0 |
X |
X |
X |
X |
Risorse aggiuntive
Impostazioni di Criteri di gruppo per TPM
Cmdlet del TPM in Windows PowerShell
Estensioni dello schema di Servizi di dominio Active Directory per il supporto del backup del TPM
Preparare l'organizzazione per BitLocker: pianificazione e criteri - configurazioni del TPM