Управление блокировкой доверенного платформенного модуля (TPM)

  • Статья

В этом разделе для ИТ-специалистов описывается управление функцией блокировки для доверенного платформенного модуля (TPM) в Windows.

Про блокировку TPM

Доверенный платформенный модуль заблокируется, чтобы предотвратить мошенничество или вредоносные атаки. Блокировка TPM может длиться разное количество времени или пока компьютер выключен. TPM в режиме блокировки обычно возвращает сообщение об ошибке, когда получает команды, которые требуют значения авторизации. Исключением является то, что TPM всегда дает владельцу по крайней мере одну попытку сброса блокировки TPM, когда он находится в режиме блокировки.

Контроль над TPM обычно принимается во время первого включения шифрования диска BitLocker на компьютере. В этом случае пароль авторизации владельца TPM сохраняется с ключом восстановления BitLocker. Когда ключ восстановления BitLocker сохраняется в файл, BitLocker также сохраняет файл пароля владельца TPM (.tpm) с хэш-значением пароля владельца. При печати ключа восстановления BitLocker одновременно печатается пароль владельца TPM. Можно также сохранить хэш-значение пароля владельца TPM в доменных службах Active Directory (AD DS), если параметры групповой политики организации позволяют это.

В некоторых случаях, ключи шифрования защищаются TPM, и тогда для доступа к ключу потребуется действительное значение авторизации. Типичный пример — настройка использования TPM с предохранителем ключа ПИН-кода шифрованием диска BitLocker. При таком сценарии, чтобы получить доступ к ключу шифрования тома, защищенному TPM, пользователь должен ввести правильный ПИН-код в процессе загрузки. Для предотвращения обнаружения значений авторизации злоумышленниками или вредоносными программами TPM реализовывает логику защиты. Логика защиты замедляет или останавливает ответы от TPM, если обнаружит, что объект, возможно, пытается угадать значения авторизации.

Соответственно отраслевым стандартам организации TCG производители TPM обязаны реализовать ту или иную форму логики защиты в чипах TPM 1.2 и TPM 2.0. Производители TPM могут использовать различные защитные механизмы и поведение. Общие рекомендации заключаются в том, что чип TPM должен экспоненциально дольше отвечать, если в TPM отправляются неправильные значения авторизации. В некоторых чипах TPM неудачные попытки не хранятся в течение длительного времени. В других чипах TPM каждая неудачная попытка сохраняется на неопределенный срок. Поэтому некоторые пользователи могут сталкиваться с все более длительными задержками, если при вводе значения авторизации, отправляемого в TPM, была допущена ошибка. Таким пользователям некоторое время может быть недоступно использование TPM.

Если TPM перешел в режим блокировки или медленно реагирует на команды, можно сбросить значение блокировки, выполнив следующие процедуры. Для сброса блокировки TPM требуется авторизация владельца TPM.

Сброс блокировки TPM с помощью консоли управления TPM

В следующей процедуре описаны действия, которые нужно выполнить, чтобы сбросить блокировку TPM, используя консоль управления TPM.

Mt431884.wedge(ru-ru,VS.85).gifСброс блокировки TPM

  1. Откройте консоль управления TPM (tpm.msc).

  2. В области Действие нажмите Сбросить блокировку TPM, чтобы запустить мастер сброса блокировки TPM.

  3. Выберите один из следующих способов ввода пароля владельца TPM.

    • Если пароль владельца TPM сохранен в файле .tpm, выберите У меня есть файл с паролем владельца и введите путь к файлу или нажмите Обзор, чтобы открыть расположение файла.

    • Чтобы вручную ввести пароль владельца TPM, выберите Я хочу ввести пароль владельца и введите пароль в соответствующем поле.

      Примечание  

      Если и BitLocker, и TPM включены, при печати пароля восстановления BitLocker с включенным BitLocker, возможно, пароль владельца TPM также напечатается с паролем восстановления.

       

Использование групповой политики для управления параметрами блокировки TPM

Параметры групповой политики TPM из следующего списка находятся в:

Конфигурация компьютера\Шаблоны администрирования\Система\Службы доверенного платформенного модуля\

  • Длительность блокировки обычных пользователей

    Этот параметр политики позволяет управлять длительностью (в минутах) подсчета ошибок авторизации обычного пользователя при выполнении команд TPM, требующих авторизации. Ошибка авторизации возникает каждый раз, когда пользователь отправляет команду модулю TPM и получает сообщение об ошибке, свидетельствующее о сбое авторизации. Ошибки авторизации, возникшие ранее этого отрезка времени, игнорируются. Если количество команд TPM с неправильной авторизацией за период блокировки равняется пороговому значению, пользователь не сможет отправлять модулю TPM команды, требующие авторизации.

  • Индивидуальный порог блокировки обычных пользователей

    Этот параметр политики позволяет изменить максимальное число ошибок авторизации при обращении к TPM для каждого пользователя. Это значение указывает максимальное число ошибок авторизации, которое может допустить каждый пользователь, прежде чем ему будет запрещено отправлять модулю TPM команды, требующие авторизации Если количество ошибок авторизации равняется длительности, установленной для данного параметра политики, пользователь не сможет отправлять модулю TPM команды, требующие авторизации.

  • Общий порог блокировки обычных пользователей

    Этот параметр политики позволяет изменить максимальное число ошибок авторизации при обращении к TPM для всех обычных пользователей. Если общее количество ошибок авторизации всех пользователей равняется длительности, установленной для данного параметра политики, все пользователи не смогут отправлять модулю TPM команды, требующие авторизации.

Дополнительные сведения о защите от атак на словари, которые используют параметры блокировки, см. в разделе Основы TPM

Использование командлетов TPM

Если вы используете Windows PowerShell для управления компьютерами, вы также можете управлять доверенными платформенными модулями с помощью Windows PowerShell. Для установки командлетов TPM введите следующую команду:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Подробные сведения об отдельных командлетах см. в разделе Командлеты TPM в Windows PowerShell.

Дополнительные ресурсы

Подробнее о TPM см. в разделе Обзор технологии TPM.