Tcg tpm support что это в биосе
Перейти к содержимому

Tcg tpm support что это в биосе

  • автор:

Обзор технологии доверенного платформенного модуля

В этой статье описывается доверенный платформенный модуль (TPM) и его использование в Windows для управления доступом и проверки подлинности.

Описание компонента

Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптографический процессор, предназначенный для выполнения криптографических операций. Микросхема имеет несколько физических механизмов обеспечения безопасности, которые делают ее устойчивой к несанкционированному вмешательству, и вредоносное программное обеспечение не может взломать функции безопасности TPM. Ниже приведены некоторые преимущества использования технологии доверенного платформенного платформенного модуля.

  • создание, сохранение и ограничение использования криптографических ключей;
  • Используйте его для проверки подлинности устройства с помощью уникального ключа RSA доверенного платформенного модуля, который сгорает в микросхему.
  • Помогите обеспечить целостность платформы, принимая и сохраняя измерения безопасности процесса загрузки.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.

Ключи на основе доверенного платформенного модуля можно настроить различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если происходит слишком много неправильных предположений авторизации, доверенный платформенный модуль активирует логику атаки словаря и предотвращает дальнейшие угадки значений авторизации.

Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие доверенный платформенный модуль (TPM):

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии доверенного платформенного модуля (TPM) предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Автоматическая инициализация TPM в Windows

Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.

В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.

Практическое применение

На компьютерах с TPM можно устанавливать и создавать сертификаты. После подготовки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.

Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.

Программное обеспечение для защиты от вредоносных программ может использовать загрузочные измерения состояния запуска операционной системы, чтобы доказать целостность компьютера под управлением Windows. Эти измерения включают запуск Hyper-V для проверки того, что центры обработки данных, использующие виртуализацию, не работают с ненадежными гипервизорами. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.

В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.

Аттестация работоспособности устройства

Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации тепла устройства можно настроить сервер MDM для запроса службы аттестации работоспособности, которая разрешает или запрещает управляемому устройству доступ к защищенному ресурсу.

Некоторые проблемы безопасности, которые можно проверка на устройствах:

  • Предотвращение выполнения данных поддерживается и включено?
  • Шифрование диска BitLocker поддерживается и включено?
  • Безопасная загрузка поддерживается и включена?

Windows поддерживает аттестацию работоспособности устройств с TPM 2.0. Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Устройство с устаревшей версией BIOS и TPM 2.0 не будет работать должным образом.

Поддерживаемые версии для подтверждения работоспособности устройства

Версия TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= версия 1607 Да >= версия 1607
TPM 2.0 Да Да Да Да Да

Рекомендации по доверенному платформенному модулю

В этом разделе приведены рекомендации по технологии доверенного платформенного модуля (TPM) для Windows.

Описание основных функций доверенного платформенного модуля см. в разделе Обзор технологии доверенного платформенного модуля.

Проектирование и реализация доверенного платформенного модуля

Традиционно TPM — это дискретные чипы, припаяемые к системной плате компьютера. Такие реализации позволяют изготовителю оборудования (OEM) компьютера оценивать и сертифицировать TPM отдельно от остальной части системы. Дискретные реализации доверенного платформенного модуля являются общими. Однако они могут быть проблематичными для интегрированных устройств, которые являются небольшими или имеют низкое энергопотребление. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.

Модули TPM являются пассивными: они получают команды и возвращают ответы. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы. Изначально TPM были разработаны для обеспечения преимуществ безопасности и конфиденциальности для владельца и пользователей платформы, но более новые версии могут обеспечить преимущества безопасности и конфиденциальности для самого оборудования системы. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе. Windows автоматически подготавливает TPM, но если пользователь планирует переустановить операционную систему, ему может потребоваться очистить доверенный платформенный модуль перед переустановкой, чтобы Windows могла в полной мере воспользоваться преимуществами доверенного платформенного модуля.

Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля. TCG существует для разработки, определения и продвижения нейтральных от поставщиков глобальных отраслевых стандартов. Эти стандарты поддерживают аппаратный корень доверия для совместимых доверенных вычислительных платформ. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).

Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон. Доверенные вычислительные платформы используют TPM, для обеспечения безопасности и конфиденциальности, достичь которых с использованием одного лишь программного обеспечения невозможно. Например, само по себе программное обеспечение не может достоверно сообщить о наличии вредоносного ПО при запуске системы. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство. Реализация доверенного платформенного модуля в составе доверенной вычислительной платформы предоставляет аппаратный корень доверия, то есть он ведет себя доверенным образом. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ не может покидать TPM.

Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов. Например, при государственных закупках некоторые правительства четко определяют требования к безопасности модулей TPM, а некоторые — нет.

Сравнение TPM версии 1.2 и 2.0

С точки зрения отраслевых стандартов, корпорация Майкрософт остается лидером по стандартизации и переходу на модули TPM 2.0, которые имеют ряд ключевых преимуществ в области алгоритмов, криптографии, иерархии, корневых ключей, авторизации и энергонезависимой оперативной памяти.

Преимущества TPM 2.0

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:

  • Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.
  • В целях безопасности некоторые организации перестают использовать SHA-1. В частности, Национальный институт стандартов и технологий США (NIST) потребовал от многих федеральных агентств перейти на использование SHA-256, начиная с 2014 года, а технологические лидеры, включая Майкрософт и Google, объявили о прекращении с 2017 года поддержки подписывания и сертификатов на основе SHA-1.
  • TPM 2.0 обеспечивает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.
    • TPM 2.0 поддерживает новые алгоритмы, что может повысить производительность подписи дисков и создания ключей. Полный список поддерживаемых алгоритмов см. в разделе Реестр алгоритмов TCG. Некоторые TTPM поддерживают не все алгоритмы.
    • Список доступных алгоритмов, которые Windows поддерживает в поставщике хранилища платформы шифрования, см. в разделе Поставщики алгоритмов шифрования CNG.
    • TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).
    • Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.
    • Реализации TPM 1.2 различаются параметрами политики. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.
    • Политика блокировки TPM 2.0 настраивается Windows для гарантированной защиты от согласованных атак перебором по словарю.

    TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. Устройства с TPM 2.0 должны иметь режим BIOS, настроенный только как «Встроенный UEFI». Параметры модуля поддержки устаревших версий и совместимости (CSM) должны быть отключены. Для обеспечения безопасности включите функцию безопасной загрузки.

    Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при смене режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск к поддержке UEFI.

    Дискретный, интегрированный или встроенный доверенный платформенный модуль?

    Существует три варианта реализации TPM:

    • Дискретная микросхема доверенного платформенного модуля как отдельный компонент в собственном полупроводниковом пакете.
    • Интегрированное решение доверенного платформенного модуля с использованием выделенного оборудования, интегрированного в один или несколько полупроводниковых пакетов вместе с другими компонентами, но логически отделенным от других компонентов.
    • Решение доверенного платформенного модуля встроенного ПО, запустив TPM в встроенном ПО в режиме доверенного выполнения вычислительной единицы общего назначения.

    Windows использует любой совместимый модуль TPM одинаково. Корпорация Майкрософт не занимает позицию о том, каким образом следует реализовать TPM, и существует широкая экосистема доступных решений доверенного платформенного модуля, которая должна соответствовать всем потребностям.

    Имеет ли модуль TPM какое-либо значение для потребителей?

    Для конечных потребителей TPM находится в фоновом режиме, но по-прежнему актуально. TPM используется для Windows Hello, Windows Hello для бизнеса и, в будущем, станет компонентом многих других ключевых функций обеспечения безопасности в Windows. TPM защищает ПИН-код, помогает шифровать пароли и основывается на нашей общей истории взаимодействия с Windows для обеспечения безопасности в качестве важного элемента. Использование Windows на системе с доверенным платформенным модулем TPM обеспечивает более глубокий и широкий уровень обеспечения безопасности.

    Соответствие TPM 2.0 для Windows

    Выпуски Windows для настольных компьютеров (домашняя, pro, корпоративная и для образовательных учреждений)

    • Начиная с 28 июля 2016 г. все новые модели устройств, линии или серии (или при обновлении конфигурации оборудования существующей модели, линии или серии с крупным обновлением, например ЦП, графические карты) должны реализовать и включить по умолчанию TPM 2.0 (сведения см. в разделе 3.7 страницы Минимальные требования к оборудованию ). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся. Рекомендации TPM в отношении конкретных компонентов Windows см. в разделе TPM и компоненты Windows.

    IoT Базовая

    • TPM не является обязательным компонентом IoT Базовая.

    Windows Server 2016

    • TPM является необязательным для SKU Windows Server, если номер SKU не соответствует другим критериям квалификации (AQ) для сценария Служб защиты узла, в этом случае требуется TPM 2.0.

    TPM и компоненты Windows

    В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля.

    Компоненты Windows Требуется протокол TPM Поддерживает TPM 1.2 Поддерживает TPM 2.0 Сведения
    Измеряемая загрузка Да Да Да Для измеряемой загрузки требуется TPM 1.2 или 2.0 и безопасная загрузка UEFI. Рекомендуется использовать TPM 2.0, так как он поддерживает более новые алгоритмы шифрования. TPM 1.2 поддерживает только алгоритм SHA-1, который не рекомендуется использовать.
    BitLocker Нет Да Да TPM 1.2 или 2.0 поддерживается, но рекомендуется TPM 2.0. Для шифрования устройств требуется современный резервный модуль , включая поддержку TPM 2.0
    Шифрование устройства Да Н/Д Да Для шифрования устройства требуется сертификация текущего режима ожидания/режима ожидания с подключением, для которой необходим модуль TPM 2.0.
    управление приложениями Защитник Windows (Device Guard) Нет Да Да
    Защитник Windows System Guard (DRTM) Да Нет Да Требуется встроенное ПО TPM 2.0 и UEFI.
    Credential Guard Нет Да Да Windows 10 версии 1507 (срок службы завершился в мае 2017 года) поддерживала только TPM 2.0 для Credential Guard. Начиная с Windows 10 версии 1511, поддерживаются TPM 1.2 и 2.0. В сочетании с Защитник Windows System Guard TPM 2.0 обеспечивает повышенную безопасность для Credential Guard. Windows 11 по умолчанию требуется TPM 2.0, чтобы упростить включение этой расширенной безопасности для клиентов.
    Аттестация работоспособности устройства Да Да Да Рекомендуется использовать TPM 2.0, так как он поддерживает более новые алгоритмы шифрования. TPM 1.2 поддерживает только алгоритм SHA-1, который не рекомендуется использовать.
    Windows Hello/Windows Hello для бизнеса Нет Да Да Microsoft Entra присоединение поддерживает обе версии TPM, но для поддержки аттестации ключей требуется TPM с кодом проверки подлинности сообщений с хэш-ключом (HMAC) и сертификатом ключа подтверждения (EK). TPM 2.0 рекомендуется использовать для TPM 1.2 для повышения производительности и безопасности. Windows Hello в качестве средства проверки подлинности платформы FIDO использует преимущества TPM 2.0 для хранения ключей.
    Безопасная загрузка UEFI Нет Да Да
    Поставщик хранилища ключей поставщика шифрования платформы TPM Да Да Да
    Виртуальная смарт-карта Да Да Да
    Хранилище сертификатов Нет Да Да Модуль TPM требуется только в случае хранения в нем сертификата.
    Автопилоте Нет Н/Д Да Если вы планируете развернуть сценарий, для которого требуется TPM (например, белая перчатка и режим саморазвертывания), то требуется встроенное ПО TPM 2.0 и UEFI.
    SecureBIO Да Нет Да Требуется встроенное ПО TPM 2.0 и UEFI.

    Состояние OEM касательно доступности систем TPM 2.0 и сертифицированных компонентов

    Пользователи государственных учреждений и корпоративные клиенты в регулируемых отраслях могут руководствоваться стандартами покупки, которые требуют использования общих сертифицированных компонентов TPM. В результате изготовители оборудования, которые предоставляют устройства, могут столкнуться с необходимостью использования только сертифицированных компонентов TPM в системах коммерческого уровня. За дополнительными сведениями обратитесь к OEM или поставщику данного оборудования.

    Статьи по теме

    Что такое TPM и как его использовать в Windows

    Print Friendly, PDF & Email

    Что такое TPM и как его использовать в Windows

    Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе «Устройства безопасности». Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.

    Доверенный платформенный модуль, или TPM (trusted platform module) – это отдельный микрочип на системной плате компьютера, который выполняет специфический круг задач, связанных с криптографией и защитой компьютера.

    Например, с помощью криптопроцессора TPM можно осуществлять шифрование жёсткого диска компьютера. Конечно, это может делать и центральный процессор, но тогда ему придётся выполнять больше задач, и скорость шифрования и расшифрования будет гораздо ниже. Аппаратно реализованное шифрование в модуле TPM происходит практически без потери производительности.

    Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.

    Также TPM может защищать учётные данные и проверять программы, запущенные в системе. Предотвращает заражение руткитами и буткитами (разновидности вредоносных программ, которые проникают в компьютер до загрузки операционной системы или скрывают своё присутствие в системе, и потому не могут быть распознаны системой), следя за тем, чтобы конфигурация компьютера не была изменена без ведома пользователя.

    Кроме того, каждый криптографический модуль TPM имеет уникальный идентификатор, который записан прямо в микросхему и не может быть изменён. Поэтому крипточип может использоваться для проверки подлинности при доступе к сети или какому-либо приложению.

    TPM может генерировать стойкие ключи шифрования, когда это требуется операционной системе (ОС).

    Но прежде чем использовать модуль TPM , его необходимо настроить. Настройка модуля сводятся к нескольким простым действиям.

    • Во-первых, чип нужно активировать в BIOS компьютера (если он не активирован).
    • Во-вторых, нужно стать его владельцем на уровне операционной системы.

    Рассмотрим эти шаги более подробно.

    1 Включение модуля TPM в BIOS компьютера

    Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».

    Настройки безопасности в BIOS

    Модуль может находиться в трёх состояниях:

    • Выключен (Disabled).
    • Включён и не задействован (Inactive).
    • Включён и задействован (Active).

    В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».

    Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

    Очистка памяти чипа TPM

    Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

    Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.

    После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».

    Чип TPM в диспетчере устройств Windows

    2 Инициализация модуля TPM в Windows

    Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM . Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

    Здесь, кстати, можно почитать дополнительную информацию – что такое TPM , когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

    В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

    Оснастка для управления чипом TPM

    Когда запустится мастер инициализации TPM , он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

    Инициализация модуля TPM через оснастку

    Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

    Пароль TPM сгенерирован, инициализация

    По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

    Пароль владельца для TPM создан

    Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

    Инициализация TPM завершена

    Собственно, на этом заканчиваются возможности управления модулем TPM . Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

    Последнее изменениеВторник, 12 Март 2019 19:04 Прочитано 132601 раз

    Поблагодарить автора:

    Поделиться

    Print Friendly, PDF & Email

    Похожие материалы (по тегу)

    Последнее от aave

    • Как использовать тип BitVector32 в .NET
    • WPF: элементы ListBox в виде CheckBox
    • Как заменить матрицу ноутбука ThinkPad T440s
    • Потокобезопасная наблюдаемая коллекция
    • Преобразование массива в строку с помощью LINQ и лямбда-выражений

    Другие материалы в этой категории:

    12 комментарии

    Андрей 25.07.2020 18:33 Комментировать Здравствуйте!

    Хочу поделиться своей проблемой по поводу TPM. Недавно система обновилась
    KB4565503 (Build 19041.388) для Windows 10 (версия 2004) В тот же день появился
    Синий экран смерти, у меня таково раньше никогда не было. Ошибка 0x00000133
    И так стало продолжаться каждый день. Нашел такую информацию : ( Драйвер устройства для доверенного платформенного модуля (TPM) обнаружил неустранимую ошибку, связанную с оборудованием TPM, которая не позволяет использовать службы TPM (например, шифрование данных). Обратитесь за помощью к производителю компьютера.) Пришлось в биосе отключить модуль ТРМ, пока все работает четко.

    Может кому-то моя информация поможет

    aave1 26.07.2020 21:16 Комментировать Андрей, спасибо большое за информацию! Это действительно интересно. Жаль только, что пришлось полностью отключать модуль TPM и не нашлось другого решения.

    Влад 27.12.2020 08:47 Комментировать Цифровая лицензия виндовс 10 слетит при этом?
    aave1 27.12.2020 18:14 Комментировать Влад! При чём «при этом»?

    Алексей 05.07.2021 10:41 Комментировать Зашел в биос, включил ТПМ. Не пришлось никаких паролей создавать. Ничего инициализировать. Но скорее всего из-за того, что у меня включена учетка мелкософт.
    Вопрос, чем грозит нажатие справа команды «Отчистить ТПМ»?

    aave1 05.07.2021 20:18 Комментировать Алексей, в чипе TPM могут храниться какие-то ваши пароли и идентификационные данные (например, для входа в Windows). Также если вы зашифровали свои данные или диски с помощью аппаратного шифрования (используя, например, BitLocker), то не сможете восстановить их.

    Поэтому прежде чем очищать модуль TPM, необходимо расшифровать все данные, которые были с помощью него зашифрованы. Перед очисткой желательно создать TPM-файл с резервной копией ключей. Это делается в оснастке TPM.

    Рекомендуется очищать модуль при продаже компьютера другому владельцу или при неполадках в работе чипа.

    Владимир 31.07.2021 09:22 Комментировать Здравствуйте !
    Прочитал вашу статью и проверил у себя в своём ноутбуке ASUS наличие модуля TPM
    Оказалось, что у меня он готов к работе. Но, лично я его не включал и даже не имею пароля от него.
    И как теперь мне быть с этим модулем ? Отключить его в БИОСе ? Или не обращать на него своего внимания ?
    Шифрованием я лично никогда не занимался и не занимаюсь, так у меня ничего личного и секретного нет на SSD-диске.
    Жду от вас консультации по моим вопросам.
    Всего хорошего.
    https://pixs.ru/images/2021/07/31/TRM.jpg

    aave1 31.07.2021 20:17 Комментировать Владимир! В таком случае лучше не отключайте модуль TPM и не обращайте на него внимания. Никакие Ваши данные он не может «украсть» или повредить. Вероятно, модуль был активирован производителем ноутбука.

    Ярослав 05.08.2021 03:08 Комментировать Привет ! Материнка P8H61 PRO позволит подключить модуль TPM?
    aave1 06.08.2021 16:50 Комментировать Ярослав, да.

    Виталий 25.11.2021 13:48 Комментировать Здравствуйте! Прочитал вашу статью чтобы подключить TPM 2.0 и столкнулся с проблемой по инициализации. Никак не могу решить задачу, подскажите пожалуйста, что я делаю не так и в чем может быть причина. Недавно приобрел TPM 2.0 модуль для своей материнской платы ASUS ROG STRIX Z370-F GAMING. Инициация модуля похоже прошла в автоматическом режиме. В управлении доверенным платформенным модулем отображается статус «готов к использованию». Очистку проводил несколько раз, и через менеджер TPM (который вызывается командой «tpm.msc»), и через устранение неисправностей TMP (та что в настройках безопасности ОС), и через непосредственно UEFI. Результат всегда один, система уведомляет что могут быть потеряны данные, я соглашаюсь, очистка вроде как происходит, компьютер перезагружается. Вновь захожу в менеджер TPM («tpm.msc») и вижу прежнюю картину — модуль готов к использованию, а варианта с ручной инициализаций нет. При этом новый BIOS или точнее UEFI для платы ASUS ROG STRIX Z370-F GAMING установлен, операционная система Windows 11 крайней версии. В БИОСе модуль включен (параметр Firmware TPM). На всякий случай включил в БИОСе функцию Secure Boot — разницы нет. Складывается впечатление что Майкрософт специально выполняет инициализацию модуля автоматически для «удобства» пользователя. Но хочется иметь доступ к паролю своей системы, иначе о какой безопасности идет речь. Или я что-то делаю не так или модуль с дефектом. И тут же интересно, как вообще проверить практически работоспособность модуля? Или же функция создания пароля в ручную возможна только с использованием Bitlocker? У меня Windows Home, и понимаю что Bitlocker в этой версии не предусмотрен, но в нем ли дело? В общем тема интересная, хочется докопаться до истины.

    aave1 26.11.2021 16:27 Комментировать Виталий! У Вас нет возможности залезть «внутрь» модуля. Он работает полностью в автоматическом режиме. Если система сообщает, что модуль готов, значит она его проверила и она может с ним работать. Тема, согласен, очень интересная, и довольно сложная. Информации на русском языке довольно мало, нужно читать спецификации на английском языке. А на русском для начала можете посмотреть видео на Ютуб с названием «TPM.TXT: попробуем взломать!», в нём кратко описываются задачи TPM, и как с ним работает компьютер.

    Clear TCG Security Future

    Назначение параметра: Очистка памяти модуля доверенной загрузки приведет к потере всех созданных ключей, а также данных, защищенных этими ключами. Очистку памяти TPM можно выполнить только тогда, когда вы подтвердите свое физическое присутствие, т.е. ответить «да» во время следующего запуска. Если вы выберете «да», настройки безопасности и содержимое TPM будут удалены.

    Возможные варианты значений:
    No — данные не будут удалены,
    Yes — все данные будут стерты.

    Просмотров: 540
    Пожалуйста, поставьте оценку:
    нет оценок

    ВКонтакт Facebook Одноклассники Twitter Яндекс Livejournal Liveinternet Mail.Ru

    КОММЕНТАРИИ к «Clear TCG Security Future»

    Чтобы оставить комментарий, вам необходимо зарегистрироваться на сайте.

    ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

    Проявления неисправностей, связанных с данным параметром (0)

    Дата размещения
    Название неисправности
    Категория причин
    Степень охвата

    IT-WIKI (2)

    ID материала: 12305 / Дата публикации: 27.06.2018 / Просмотров: 428

    Технология защиты данных стека путем создания его второй, теневой копии с который основной стек сравнивается при обращении к нему. Если при сравнении стеков найдены расхождения, то вероятно есть попытка компрометации системы.

    ID материала: 7903 / Дата публикации: 27.06.2018 / Просмотров: 1005

    Технология Intel Trusted Execution (Intel TXT, ранее известная как LaGrande Technology) — это компьютерная аппаратная технология, основными задачами которой являются:

    — Подтверждение подлинности платформы и ее операционной системы.
    — Гарантия того, что подлинная операционная система запускается в доверенной среде, которую затем можно считать надежной.
    — Предоставление доверенной операционной системы с дополнительными возможностями безопасности, недоступными непроверенной.

    Intel TXT использует доверенный.

    Параметры BIOS (74)

    Название (синонимы) параметра
    Назначение параметра
    Варианты значений параметра
    Особенности значений параметров и их влияние на работу компьютера

    Параметр показывает предупреждение, если произошли изменения в загрузочных секторах жесткого (твердотельного) диска системы с момента последней загрузки системы. Что может свидетельствовать о вирусной активнсоти.

    — Disabled
    — Enabled

    Описание значений параметров:

    Disabled — Предупреждение о вирусах отключено.
    Enabled — Предупреждение о вирусах включено.

    Параметр включает/отключает загрузку компьютера только в том случае, если в компьютер вставлен специальный USB-носитель, который можно подготовить при помощи функции БИОС Make U-key at: на флешку записывается ключ, который не виден пользователю и наличие которого система проверяет перед загрузкой. Если такой носитель информации не вставлен, или ключа нет, система не загрузится.

    — Disabled
    — Enabled

    Описание значений параметров:

    Disabled — U-key отключен.
    Enabled — U-key включен.

    Особенности:

    Обойти загрузку системы только при наличии специальной USB-флешки можно сбросив БИОС (UEFI). Функция U-key отключится.

    — TPM
    — Security Device Support
    — AMD Platform Security Processor

    Параметр включает/отключает чип Intel Trusted Platform Module (TPM) на материнской плате. Чип TPM — это специализированный процессор, являющийся частью технологии Intel Trusted Execution (Intel TXT, ранее известная как LaGrande Technology). TPM либо распаян на материнской плате, либо устанавливается через одноименный разъем с 19-ю или 11-ю контактами.

    Intel TXT — это компьютерная аппаратная технология, задачами которой являются:

    — Подтверждение подлинности платформы и ее операционной системы.
    — Гарантия того, что подлинная операционная система запускается в доверенной среде, которую затем можно считать надежной.
    — Предоставление доверенной операционной системы с дополнительными возможностями безопасности, недоступными непроверенной.

    AMD Platform Security Processor — аналогичный сопроцессор от компании AMD.

    — Enabled
    — Disabled

    Описание значений параметров:

    Enabled — TPM включен,
    Disabled — TPM отключен.

    Параметр определяет видимость модуля доверенной загрузки для операционной системы.

    — Hidden
    — Available

    Описание значений параметров:

    Hidden — операционная система не будет видеть TPM,
    Available — операционная система будет видеть TPM.

    Параметр, переключающий версию TPM для управления совместимостью с операционной системой.
    — TCG_1_2
    — TCG_2

    Описание значений параметров:

    TCG_1_2 — Включена версия 1.2. Обеспечивается совместимость с WIndows 8 — 10,
    TCG_2 — Включена версия 2.0 Работает с WIndows 10, 11 или старше.

    Особенности:

    Данный параметр актуален для TPM 2.0

    Параметр позволяет выбрать основу (движок) для доверенной вычислительной среды.
    — Discrete TPM
    — Firmware TPM

    Описание значений параметров:

    Discrete TPM — в качестве основы будет использоваться аппаратный модуль TPM — специальная микросхема на материнской плате,
    Firmware TPM — в качестве основы будет использоваться программная эмуляция TPM.

    Раздел с настройками TCG.

    TCG (Trusted Computing Group) — это группа, созданная в 2003 году как преемница Альянса доверенных вычислительных платформ, который ранее был сформирован в 1999 году для реализации концепции доверенных вычислений на персональных компьютерах. В состав группы входят такие компании как Intel, AMD, IBM, Microsoft и Cisco.

    В частности, на компьютере, на котором встречаются такие настройки можно реализовать доверенную вычислительную среду, которая будет гарантировать безопасность работы за счет недопущения запуска приложений, не имеющих цифровой подписи.

    Иерархия хранилища предназначена для использования владельцем платформы, либо ИТ-отделом предприятия, либо конечным пользователем. Иерархия хранилища TPM 2.0 равнозначна иерархии хранилища TPM 1.2. У него есть политика владельца и значение авторизации, которые сохраняются после перезагрузки. Цель состоит в том, чтобы они были установлены и редко изменялись.

    Владелец может отключить иерархию хранилища, не затрагивая иерархию платформы. Это позволяет программному обеспечению платформы использовать TPM, даже если владелец отключает его иерархию. В TPM 1.2 отключение иерархии единого хранилища отключило TPM. Точно так же эту иерархию можно очистить (изменив первичное семя и удалив постоянные объекты) независимо от других иерархий.

    Иерархия хранения предназначена для операций, не зависящих от конфиденциальности, тогда как иерархия одобрения (Endorsement Hierarchy) с отдельными элементами управления обеспечивает конфиденциальность.

    — Enabled
    — Disabled

    Описание значений параметров:

    Enabled — Иерархия хранилища включена,
    Disabled — Иерархия хранилища отключена.

    Особенности:

    Данный параметр актуален для TPM 2.0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *