Visão geral da tecnologia Trusted Platform Module

Este tópico para o profissional de TI descreve o Trusted Platform Module (TPM) e como o Windows o usa para controle de acesso e autenticação. O tópico fornece links para outros recursos sobre o TPM.

Descrição dos recursos

A tecnologia Trusted Platform Module (TPM) foi projetada para fornecer funções relacionadas à segurança baseadas em hardware. Um chip TPM é um processador de criptografia seguro projetado para desempenhar as operações de criptografia. O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado. Algumas das principais vantagens do uso da tecnologia TPM são a possibilidade de:

  • Gerar, armazenar e limitar o uso de chaves de criptografia.

  • Usar a tecnologia TPM para autenticação de dispositivo de plataforma com a chave RSA de autogravação exclusiva do TPM.

  • Ajudar a garantir a integridade da plataforma, executando e armazenando medidas de segurança.

As funções mais comuns do TPM são para medições de integridade do sistema e uso e criação de chaves. Durante o processo de inicialização de um sistema, o código de inicialização que é carregado (incluindo firmware e componentes do sistema operacional) pode ser medido e gravado no TPM. As medidas de integridade podem ser usadas como prova de como um sistema foi iniciado e como garantia de que uma chave baseada no TPM só foi usada com o software correto para inicializar o sistema.

As chaves baseadas no TPM podem ser configuradas de várias maneiras. Uma opção é tornar uma chave baseada no TPM indisponível fora do TPM. Isso é bom para reduzir ataques de phishing porque impede que a chave seja copiada e usada sem o TPM. As chaves baseadas no TPM também podem ser configuradas para exigir um valor de autorização de uso. Se ocorrerem muitas tentativas de autorização incorretas, o TPM ativará sua lógica de ataque de dicionário e evitará novas tentativas de valor de autorização.

Versões diferentes do TPM estão definidas nas especificações pelo TCG (Trusted Computing Group). Para obter mais informações, consulte o site do TCG (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).

O Windows pode provisionar e gerenciar automaticamente o TPM. As configurações de Política de Grupo podem ser definidas para controlar se o backup do valor de autorização de proprietário do TPM será feito no Active Directory. Como o estado do TPM é preservado em todas as instalações de sistema operacional, as informações do TPM são armazenadas em um local separado dos objetos do computador no Active Directory. Dependendo das metas de segurança de uma empresa, a Política de Grupo pode ser configurada para permitir ou impedir que os administradores locais redefinam a lógica de ataque de dicionário do TPM. Os usuários padrão podem usar o TPM, mas os controles da Política de Grupo limitam o número de falhas de tentativa de autorização que os usuários padrão podem apresentar para que um único usuário não seja capaz de impedir o uso do TPM por outros usuários ou o administrador. A tecnologia TPM também pode ser usada como um cartão inteligente virtual e para armazenamento seguro de certificados. Com o Desbloqueio pela rede do BitLocker, os computadores ingressados no domínio não são solicitados a inserir um PIN do BitLocker.

Aplicações práticas

É possível instalar ou criar certificados em computadores usando o TPM. Depois que um computador é configurado, a chave privada RSA para obter um certificado é vinculada ao TPM e não pode ser exportada. O TPM também pode ser usado como um substituto para cartões inteligentes, o que reduz os custos associados à criação e distribuição de cartões inteligentes.

O provisionamento automatizado no TPM reduz o custo de implantação do TPM em uma empresa. As novas APIs para gerenciamento do TPM podem determinar se as ações de provisionamento do TPM exigem a presença física de um técnico de serviço para aprovar solicitações de alteração de estado do TPM durante o processo de inicialização.

O software antimalware pode usar as medições de inicialização do estado de início do sistema operacional para comprovar a integridade de um computador executando o Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 ou Windows Server 2012. Essas medições incluem a inicialização do Hyper-V para testar se os datacenters usando a virtualização não estão executando hipervisores não confiáveis. Com o Desbloqueio pela rede do BitLocker, os administradores de TI podem enviar por push uma atualização sem a preocupação de que um computador está esperando a entrada do PIN.

O TPM tem várias configurações de Política de Grupo que podem ser usadas para gerenciar seu uso. Essas configurações podem ser usadas para gerenciar o valor de autorização de proprietário, os comandos bloqueados do TPM, o bloqueio de usuário padrão e o backup do TPM no AD DS. Para obter mais informações, consulte Configurações de Política de Grupo dos Serviços do Trusted Platform Module.

Funcionalidades novas e alteradas

Para obter mais sobre as funcionalidades nova e alterada para Trusted Platform Module no Windows 10, consulte Novidades no Trusted Platform Module?.

Atestado de integridade de dispositivo

O atestado de integridade de dispositivo permite que as empresas tenham confiança nos componentes de hardware e software de um dispositivo gerenciado. Com o atestado de integridade de dispositivo, você pode configurar um servidor MDM para consultar um serviço de atestado de integridade que permitirá ou negará o acesso de um dispositivo gerenciado a um recurso seguro.

Algumas coisas que você pode verificar no dispositivo são:

  • A Prevenção de Execução de Dados é compatível e está habilitada?
  • A Criptografia de Unidade de Disco BitLocker é compatível e está habilitada?
  • A Inicialização Segura é compatível e está habilitada?

Observação  O dispositivo deve estar executando o Windows 10 e ser compatível ao menos com o TPM 2.0.

 

Versões com suporte

Versão do TPM Windows 10 Windows Server 2012 R2, Windows 8.1 e Windows RT Windows Server 2012, Windows 8 e Windows RT Windows Server 2008 R2 e Windows 7

TPM 1.2

X

X

X

X

TPM 2.0

X

X

X

X

 

Recursos adicionais

Conceitos básicos do TPM

Configurações da Política de Grupo do TPM

Cmdlets do TPM no Windows PowerShell

Extensões de esquema do AD DS para suporte ao backup do TPM

Preparar sua organização para o BitLocker: planejamento e políticas - configurações do TPM