TPM 建議
本主題提供適用於 Windows 10 信賴平台模組 (TPM) 技術的建議。
概觀
「信賴平台模組 (TPM)」技術的設計目的是要提供以硬體為基礎的安全性相關功能。它具有安全性相關的密碼編譯處理器,專門設計用來在各種不同的裝置和尺寸規格中執行密碼編譯作業。它包含多個實體安全性機制,來協助防止惡意軟體竄改 TPM 的安全性功能。使用 TPM 技術的一些主要優點是您可以:
- 產生、儲存、使用,以及受保護的密碼編譯金鑰,
- 藉由使用唯一的簽署金鑰 (EK) 針對平台裝置驗證使用 TPM 技術,以及
- 藉由進行和儲存安全性測量,協助加強平台完整性。
最常見的 TPM 功能是用於系統完整性測量及金鑰的建立與使用。在系統開機程序期間,可以測量載入的開機程式碼 (包括韌體和作業系統元件) 並記錄在 TPM 中。完整性測量可用來證明系統的啟動情況,以及確保只有在使用正確軟體來進行系統開機的情況下,才會使用 TPM 型金鑰。
不同的 TPM 版本皆由「信賴運算群組 (TCG)」定義在規範中。
注意
正式發行前可能會進行大幅度修改之預先發行的產品的一些相關資訊。Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
TPM 1.2 與 2.0 的比較
從業界標準來看,Microsoft 已經是驅動與標準化 TPM 2.0 的領導者。 如下表所示,TPM 2.0 具有許多跨演算法、密碼編譯、階層、根金鑰、授權與 NV RAM 已實現的主要優點。
為什麼使用 TPM 2.0?
TPM 2.0 產品與系統擁有優於 TPM 1.2 的安全性優點,包括:
- TPM 1.2 規格僅允許使用 RSA 與 SHA-1 雜湊演算法。
- 基於安全性考量,某些機構已不使用 SHA-1。 值得注意的是,自 2014 年開始 NIST 已要求許多聯邦單位改用 SHA-256,而科技龍頭 (包括Microsoft 與 Google) 已經宣布將於 2017 年移除 SHA-1 式簽署或憑證的支援。
- 藉由更具彈性的密碼編譯演算法,TPM 2.0 可提供更大的密碼編譯靈敏度。
- TPM 2.0 支援 SHA-256 以及 ECC,後者在磁碟簽署和金鑰產生效能方面很重要。
- TPM 2.0 已達成 ISO 標準化 (ISO/IEC 11889:2015)。
- 使用 TPM 2.0 可能有助於排除 OEM 需求,以針對特定國家和地區的標準設定做出例外狀況 。
- TPM 2.0 可跨不同的實作提供更一致的體驗。
- 同時跨特定和韌體的 TPM 1.2 實作會因原則設定而有差異。這可能會因為鎖定原則有所不同而導致支援問題。
- TPM 2.0 標準化原則需求可協助建立一致的跨裝置鎖定體驗,因此 Windows 可以提供更好的端對端使用者經驗。
- 因為 TPM 1.2 組件通常是鉛焊在主機板上的個別晶片元件,TPM 2.0 可同時做為系統的主要 SoC 上受信任的執行環境 (TEE) 中執行的特定 (dTPM) 晶片元件與韌體 (fTPM) 型元件:
- 在 Intel 晶片上,為 Intel 管理引擎 (ME) 或交集安全性引擎 (CSE)。
- 若是 AMD 晶片,為 AMD 安全性處理器
- 若是 ARM 晶片,為 Trustzone 受信任的應用程式 (TA)。
- 在傳統 Windows 系統的韌體 TPM 情況中,晶片廠商會將韌體 TPM 實作以及其他晶片韌體提供給 OEM。
特定或韌體 TPM?
Windows 使用特定及韌體 TPM 的方式相同。不論是哪一種選項,Windows 都沒有增加功能上的優點。
從安全性觀點來看,特定及韌體共用相同的特性。
- 兩者都使用硬體安全執行。
- 兩者都針對 TPM 功能的部分使用韌體。
- 兩者都有配備防竄改防護功能。
- 兩者都有唯一的安全性限制/風險。
如需詳細資訊,請參閱 fTPM:以韌體為基礎的 TPM 2.0 實作。
未來適用於 Windows 10 的 TPM 2.0 規範
從 2016 年 7 月 28 日起,跨所有 SKU 類型的所有 Windows 10 出貨裝置都必須使用特定或韌體 TPM 2.0。 這項要求會透過我們的 Windows 硬體認證計劃強制執行。
傳統型版本的 Windows 10 (家用版、專業版、企業版和教育版)
- 針對 Windows 10 與 Windows 8,需要所有的已連線待命系統,才能包含 TPM 2.0 支援。
- 針對 Windows 10 與更新版本,如果選擇了包含整合 fTPM2.0的 SoC,該裝置必須隨附 fTPM FW 支援或特定 TPM 1.2 或 2.0。
- 從 2016 年 7 月 28 日起,所有出貨的 Windows 10 Desktop 裝置必須實作 TPM 2.0 並啟用 TPM。
Windows 10 行動裝置版
- 所有出貨的 Windows 10 行動裝置版裝置必須實作 TPM 2.0 並啟用 TPM。
IoT 核心版
- 在 IoT 核心版上,TPM 是選擇性的。
Windows Server 2016 Technical Preview
- 針對 Windows Server SKU,除非 SKU 符合 Host Guardian Services 案例的額外限定性條件 (AQ) 準則 (在此情況下 TPM 2.0 是必要的),否則TPM 是選擇性的。
TPM 與 Windows 功能
下表會定義哪個 Windows 功能需要 TPM 支援。某些功能不適用 Windows 7/8/8.1 而特別附註。
| Windows 功能 | Windows 7/8/8.1 TPM 1.2 | Windows 10 TPM 1.2 | Windows 10 TPM 2.0 | 詳細資料 |
|---|---|---|---|---|
| 測量開機 | 必要 | 必要 | 必要 | 測量開機需要 TPM 1.2 或 2.0 和 UEFI 安全開機。 |
| BitLocker | 必要 | 必要 | 必要 | 需要 TPM 1.2 或更新版本,或是抽取式 USB 記憶體裝置,例如快閃磁碟機。 |
| Passport:加入網域 AADJ | 不適用 | 必要 | 必要 | 支援兩種版本的 TPM,但要求 TPM 包含 HMAC 和 EK 憑證,以支援金鑰證明。 |
| Passport:MSA 或本機帳戶 | 不適用 | 非必要 | 必要 | HMAC 和 EK 憑證需要 TPM 2.0,以支援金鑰證明。 |
| 裝置加密 | 不適用 | 非必要 | 必要 | 針對所有的 InstantGo 裝置,TPM 2.0 為必要的。 |
| Device Guard / 可設定程式碼完整性 | 不適用 | 選用 | 選用 | |
| Credential Guard | 不適用 | 必要 | 必要 | 強烈建議 Windows 10 (版本 1511)、TPM 1.2 或 2.0 使用。如果您未安裝 TPM,則還是會啟用 Credential Guard,但用來加密 Credential Guard 的金鑰將不會受到 TPM 保護。 |
| 裝置健康情況證明 | 不適用 | 非必要 | 必要 | |
| Windows Hello | 不適用 | 非必要 | 非必要 | |
| UEFI 安全開機 | 非必要 | 非必要 | 非必要 | |
| 平台金鑰存放區提供者 | 不適用 | 必要 | 必要 | |
| 虛擬智慧卡 | 不適用 | 必要 | 必要 | |
| 憑證存放區 (TPM 繫結) | 不適用 | 必要 | 必要 |
TPM 2.0 的晶片組選項
針對特定和韌體兩者,有各種不同的 TPM 製造商。
特定 TPM
| 供應商 |
|---|
|
韌體 TPM
| 供應商 | Chipset |
|---|---|
| AMD |
|
| Intel |
|
| Qualcomm |
|
OEM 意見反應和 TPM 2.0 系統可用性狀態
認證的 TPM 組件
受規定產業中的政府客戶和企業客戶可能具備需要使用常見的認證 TPM 組件的擷取標準。因此,提供裝置的 OEM 可能要求只能在他們的商業類別系統上使用認證的 TPM 元件。 特定 TPM 2.0 廠商有目標在 2015 年末完成認證。
Windows 7 32 位元的支援
即使 Windows 7 是在 TPM 2.0 規格或產品存在之前出貨,Microsoft 仍反向支援 Windows 7 64 位元的 TPM 2.0 支援,並在 2014 年夏季以可下載的 Windows Hotfix 針對以 UEFI 為基礎的 Windows 7 系統發行。Microsoft 目前沒有打算反向支援 Windows 7 32 位元的支援。