Что такое TPM и как его использовать в Windows
Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе «Устройства безопасности». Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.
Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.
- Во-первых, чип нужно активировать в BIOS компьютера (если он не активирован).
- Во-вторых, нужно стать его владельцем на уровне операционной системы.
Рассмотрим эти шаги более подробно.
1 Включение модуля TPM в BIOS компьютера
Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».
Настройки безопасности в BIOS
Модуль может находиться в трёх состояниях:
- Выключен (Disabled).
- Включён и не задействован (Inactive).
- Включён и задействован (Active).
В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».
Тут же в настройках можно очистить старые ключи, сгенерированные чипом.
Очистка памяти чипа TPM
Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).
Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.
После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».
Чип TPM в диспетчере устройств Windows
2 Инициализация модуля TPM в Windows
В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.
Оснастка для управления чипом TPM
Инициализация модуля TPM через оснастку
Пароль TPM сгенерирован, инициализация
По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.
Пароль владельца для TPM создан
Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).
Инициализация TPM завершена
Параметры групповой политики доверенного платформенного модуля TPM Group Policy settings
Относится к: Applies to
- Windows 10 Windows10
- Windows Server 2016 и более поздние версии Windows Server 2016 and later
В этой статье описаны службы доверенного платформенного модуля (TPM), которыми можно управлять централизованно с помощью параметров групповой политики. This topic describes the Trusted Platform Module (TPM) Services that can be controlled centrally by using Group Policy settings.
Параметры групповой политики для служб доверенного платформенного модуля находятся по адресу: The Group Policy settings for TPM services are located at:
Платформенный модуль Configuration\Administrative Templates\System\Trusted Services Computer Configuration\Administrative Templates\System\Trusted Platform Module Services \
В Windows 10 появились следующие параметры групповой политики. The following Group Policy settings were introduced in Windows 10.
Настройка уровня доступности данных авторизации владельца доверенного платформенного модуля для операционной системы Configure the level of TPM owner authorization information available to the operating system
Начиная с Windows 10 версии 1607 и Windows Server 2016, этот параметр политики больше не используется Windows, но он продолжает появляться в GPEdit. msc для обеспечения совместимости с предыдущими версиями. Beginning with Windows 10 version 1607 and Windows Server 2016, this policy setting is no longer used by Windows, but it continues to appear in GPEdit.msc for compatibility with previous versions. Начиная с Windows 10 версии 1703 по умолчанию используется значение 5. Beginning with Windows 10 version 1703, the default value is 5. Это значение реализуется во время подготовки, так что другой компонент Windows может либо удалить его, либо стать его владельцем в зависимости от конфигурации системы. This value is implemented during provisioning so that another Windows component can either delete it or take ownership of it, depending on the system configuration. Для доверенного платформенного модуля 2,0 значение 5 означает сохранение авторизации блокировки. For TPM 2.0, a value of 5 means keep the lockout authorization. Для доверенного платформенного модуля 1,2 это означает отказ от полной авторизации владельца доверенного платформенного модуля и сохранение только делегированной авторизации. For TPM 1.2, it means discard the Full TPM owner authorization and retain only the Delegated authorization.
Этот параметр политики определяет, какие значения авторизации доверенного платформенного модуля хранятся в реестре на локальном компьютере. This policy setting configured which TPM authorization values are stored in the registry of the local computer. Некоторые значения авторизации необходимы для того, чтобы Windows мог выполнять определенные действия. Certain authorization values are required in order to allow Windows to perform certain actions.
| Значение доверенного платформенного модуля 1,2 TPM 1.2 value | Значение доверенного платформенного модуля 2,0 TPM 2.0 value | Описание Purpose | Хранится на уровне 0? Kept at level 0? | Хранится на уровне 2? Kept at level 2? | Хранится на уровне 4? Kept at level 4? |
|---|---|---|---|---|---|
| OwnerAuthAdmin OwnerAuthAdmin | StorageOwnerAuth StorageOwnerAuth | Создание SRK Create SRK | Нет No | Да Yes | Да Yes |
| OwnerAuthEndorsement OwnerAuthEndorsement | EndorsementAuth EndorsementAuth | Создание или использование EK (только для 1,2: создание AIK) Create or use EK (1.2 only: Create AIK) | Нет No | Да Yes | Да Yes |
| OwnerAuthFull OwnerAuthFull | LockoutAuth LockoutAuth | Сброс и изменение словаря защита от атак Reset/change Dictionary Attack Protection | Нет No | Нет No | Да Yes |
Существует три параметра проверки подлинности владельца доверенного платформенного модуля, которые управляются операционной системой Windows. There are three TPM owner authentication settings that are managed by the Windows operating system. Вы можете выбрать значение » полный«, » делегировать» или » нет«. You can choose a value of Full, Delegate, or None.
Полный доступ Этот параметр сохраняет полную авторизацию владельца доверенного платформенного модуля, двоичный объект делегирования администрирования TPM и большой двоичный объект делегирования пользователя ДОВЕРЕНного платформенного модуля в локальном реестре. FullThis setting stores the full TPM owner authorization, the TPM administrative delegation blob, and the TPM user delegation blob in the local registry. С помощью этого параметра можно использовать доверенный платформенный модуль, не требуя удаленного или внешнего хранилища значения авторизации владельца доверенного платформенного модуля. With this setting, you can use the TPM without requiring remote or external storage of the TPM owner authorization value. Этот параметр подходит для сценариев, которые не требуют сброса логики борьбы с продолжением TPM, или изменения значения авторизации владельца доверенного платформенного модуля. This setting is appropriate for scenarios that do not require you to reset the TPM anti-hammering logic or change the TPM owner authorization value. Некоторые приложения, основанные на использовании доверенного платформенного модуля, могут потребовать, чтобы этот параметр изменился, прежде чем можно будет использовать компоненты, зависящие от логики борьбы с продолжением. Some TPM-based applications may require that this setting is changed before features that depend on the TPM anti-hammering logic can be used. Авторизация полного владельца в TPM 1,2 аналогична авторизации блокировки в доверенном платформенном модуле (TPM) 2,0. Full owner authorization in TPM 1.2 is similar to lockout authorization in TPM 2.0. Для авторизации владельца установлен другой смысл для доверенного платформенного модуля 2,0. Owner authorization has a different meaning for TPM 2.0.
Делегированный Этот параметр сохраняет только доверенный платформенный модуль делегирования администрирования TPM и большой двоичный объект делегирования пользователя доверенного платформенного модуля в локальном реестре. DelegatedThis setting stores only the TPM administrative delegation blob and the TPM user delegation blob in the local registry. Этот параметр подходит для использования с приложениями на основе доверенного платформенного модуля, которые зависят от логики размытого платформенного модуля. This setting is appropriate for use with TPM-based applications that depend on the TPM antihammering logic. Это значение по умолчанию для Windows, предшествующее версии 1703. This is the default setting in Windows prior to version 1703.
None (нет ) Этот параметр обеспечивает совместимость с предыдущими операционными системами и приложениями. NoneThis setting provides compatibility with previous operating systems and applications. Вы также можете использовать его в сценариях, если авторизация владельца доверенного платформенного модуля не может быть сохранена локально. You can also use it for scenarios when TPM owner authorization cannot be stored locally. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе доверенного платформенного модуля. Using this setting might cause issues with some TPM-based applications.
Если параметр проверки подлинности управляемого доверенного платформенного модуля изменен с Full на делегированный, то значение авторизации полного владельца доверенного платформенного модуля будет создано повторно, а все копии ранее установленного значения авторизации владельца доверенного платформенного модуля будут недействительны. If the operating system managed TPM authentication setting is changed from Full to Delegated, the full TPM owner authorization value will be regenerated, and any copies of the previously set TPM owner authorization value will be invalid.
Сведения в реестре Registry information
Раздел реестра: HKEY \ _LOCAL \ _MACHINE \SOFTWARE\Policies\Microsoft\TPM Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel DWORD: OSManagedAuthLevel
В приведенной ниже таблице показаны значения авторизации владельца доверенного платформенного модуля в реестре. The following table shows the TPM owner authorization values in the registry.
| Данные значения Value Data | Параметр Setting |
|---|---|
| до 0 | Нет None |
| 2 2 | Делегированного Delegated |
| четырехпроцессорном 4 | Полный Full |
Если вы включите этот параметр политики, то операционная система Windows сохранит авторизацию владельца доверенного платформенного модуля в реестре локального компьютера в соответствии с выбранным параметром проверки подлинности доверенного платформенного модуля. If you enable this policy setting, the Windows operating system will store the TPM owner authorization in the registry of the local computer according to the TPM authentication setting you choose.
В Windows 10 до версии 1607, если вы отключите или не настроите этот параметр политики, а также включите параметр политики Архивация доверенного платформенного модуля в доменные службы Active Directory , параметр по умолчанию — сохранение полного значения авторизации доверенного платформенного модуля в локальном реестре. On Windows 10 prior to version 1607, if you disable or do not configure this policy setting, and the Turn on TPM backup to Active Directory Domain Services policy setting is also disabled or not configured, the default setting is to store the full TPM authorization value in the local registry. Если эта политика отключена или не настроена, а параметр включить резервное копирование доверенного платформенного модуля в доменных службах Active Directory включена, в локальном реестре будут храниться только делегирование для делегирования пользователей и данные. If this policy is disabled or not configured, and the Turn on TPM backup to Active Directory Domain Services policy setting is enabled, only the administrative delegation and the user delegation blobs are stored in the local registry.
Продолжительность блокировки стандартных пользователей Standard User Lockout Duration
Этот параметр политики позволяет управлять длительностью в минутах для подсчета ошибок авторизации стандартных пользователей для команд доверенного платформенного модуля (TPM), требующих авторизации. This policy setting allows you to manage the duration in minutes for counting standard user authorization failures for Trusted Platform Module (TPM) commands requiring authorization. Ошибка авторизации возникает каждый раз, когда Стандартный пользователь отправляет команду доверенному платформенному модулю и получает ответ об ошибке, указывающий на то, что произошла ошибка авторизации. An authorization failure occurs each time a standard user sends a command to the TPM and receives an error response that indicates an authorization failure occurred. Ошибки авторизации, которые старше заданной вами продолжительности, игнорируются. Authorization failures that are older than the duration you set are ignored. Если количество команд TPM с ошибкой авторизации в течение длительности, равное пороговому значению, для обычного пользователя запрещено отправлять команды, требующие авторизации для доверенного платформенного модуля. If the number of TPM commands with an authorization failure within the lockout duration equals a threshold, a standard user is prevented from sending commands that require authorization to the TPM.
Доверенный платформенный модуль разработан таким образом, чтобы защитить себя от атак подбора пароля путем ввода режима аппаратной блокировки при получении слишком большого количества команд с неправильным значением авторизации. The TPM is designed to protect itself against password guessing attacks by entering a hardware lockout mode when it receives too many commands with an incorrect authorization value. Когда доверенный платформенный модуль входит в режим блокировки, он является глобальным для всех пользователей (включая администраторов) и для таких функций Windows, как шифрование диска BitLocker. When the TPM enters a lockout mode, it is global for all users (including administrators) and for Windows features such as BitLocker Drive Encryption.
Этот параметр помогает администраторам предотвратить вход оборудования TPM в режим блокировки, ускоряя скорость, с которой стандартные пользователи могут отправлять команды, требующие авторизации для доверенного платформенного модуля. This setting helps administrators prevent the TPM hardware from entering a lockout mode by slowing the speed at which standard users can send commands that require authorization to the TPM.
Для каждого стандартного пользователя применяются два пороговых значения. For each standard user, two thresholds apply. Превышение порогового значения не позволяет пользователю отправить команду, требующую авторизации для доверенного платформенного модуля. Exceeding either threshold prevents the user from sending a command that requires authorization to the TPM. Чтобы установить продолжительность блокировки, используйте следующие параметры политики: Use the following policy settings to set the lockout duration:
Индивидуальный порог блокировки для стандартного пользователя Это значение — это максимальное количество ошибок авторизации, которое может иметь каждый стандартный пользователь, прежде чем пользователь не сможет отправлять им команды, требующие авторизации для доверенного платформенного модуля. Standard User Individual Lockout ThresholdThis value is the maximum number of authorization failures that each standard user can have before the user is not allowed to send commands that require authorization to the TPM.
Общее пороговое значение блокировки для обычных пользователей Это значение — это максимальное общее количество ошибок авторизации, которые могут иметь все стандартные пользователи, прежде чем все стандартные пользователи не смогут отправлять команды, требующие авторизации для доверенного платформенного модуля. Standard User Total Lockout ThresholdThis value is the maximum total number of authorization failures that all standard users can have before all standard users are not allowed to send commands that require authorization to the TPM.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику блокировки оборудования TPM с помощью центра безопасности защитника Windows. An administrator with the TPM owner password can fully reset the TPM’s hardware lockout logic by using the Windows Defender Security Center. Каждый раз, когда администратор восстанавливает логику блокировки оборудования TPM, все предыдущие стандартные ошибки авторизации доверенного платформенного модуля игнорируются. Each time an administrator resets the TPM’s hardware lockout logic, all prior standard user TPM authorization failures are ignored. Это позволяет обычным пользователям немедленно использовать доверенный платформенный модуль в обычном режиме. This allows standard users to immediately use the TPM normally.
Если вы не настраиваете этот параметр политики, используется значение по умолчанию 480 минут (8 часов). If you do not configure this policy setting, a default value of 480 minutes (8 hours) is used.
Индивидуальный порог блокировки для стандартного пользователя Standard User Individual Lockout Threshold
Этот параметр политики позволяет управлять максимальным количеством ошибок авторизации для каждого стандартного пользователя доверенного платформенного модуля (TPM). This policy setting allows you to manage the maximum number of authorization failures for each standard user for the Trusted Platform Module (TPM). Это значение — это максимальное количество ошибок авторизации, которое может иметь каждый стандартный пользователь, прежде чем пользователь не сможет отправлять им команды, требующие авторизации для доверенного платформенного модуля. This value is the maximum number of authorization failures that each standard user can have before the user is not allowed to send commands that require authorization to the TPM. Если количество сбоев авторизации для пользователя в течение длительности, заданное в параметрах политики для стандартной длительности пользователя , равно указанному значению, то стандартный пользователь не сможет отправлять команды, требующие авторизации для доверенного платформенного модуля (TPM). If the number of authorization failures for the user within the duration that is set for the Standard User Lockout Duration policy setting equals this value, the standard user is prevented from sending commands that require authorization to the Trusted Platform Module (TPM).
Этот параметр помогает администраторам предотвратить вход оборудования TPM в режим блокировки, ускоряя скорость, с которой стандартные пользователи могут отправлять команды, требующие авторизации для доверенного платформенного модуля. This setting helps administrators prevent the TPM hardware from entering a lockout mode by slowing the speed at which standard users can send commands that require authorization to the TPM.
Ошибка авторизации возникает каждый раз, когда Стандартный пользователь отправляет команду на доверенный платформенный модуль и получает ответ об ошибке, указывающий на то, что произошла ошибка авторизации. An authorization failure occurs each time a standard user sends a command to the TPM and receives an error response indicating an authorization failure occurred. Ошибки авторизации, предшествующие длительности, игнорируются. Authorization failures older than the duration are ignored.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику блокировки оборудования TPM с помощью центра безопасности защитника Windows. An administrator with the TPM owner password can fully reset the TPM’s hardware lockout logic by using the Windows Defender Security Center. Каждый раз, когда администратор восстанавливает логику блокировки оборудования TPM, все предыдущие стандартные ошибки авторизации доверенного платформенного модуля игнорируются. Each time an administrator resets the TPM’s hardware lockout logic, all prior standard user TPM authorization failures are ignored. Это позволяет обычным пользователям немедленно использовать доверенный платформенный модуль в обычном режиме. This allows standard users to immediately use the TPM normally.
Если вы не настраиваете этот параметр политики, используется значение по умолчанию, равное 4. If you do not configure this policy setting, a default value of 4 is used. Нулевое значение означает, что операционная система не позволит обычным пользователям отправлять команды доверенному платформенному модулю, что может привести к сбою авторизации. A value of zero means that the operating system will not allow standard users to send commands to the TPM, which might cause an authorization failure.
Общее пороговое значение блокировки для обычных пользователей Standard User Total Lockout Threshold
Этот параметр политики позволяет управлять максимальным количеством ошибок авторизации для всех стандартных пользователей доверенного платформенного модуля (TPM). This policy setting allows you to manage the maximum number of authorization failures for all standard users for the Trusted Platform Module (TPM). Если общее количество ошибок авторизации для всех стандартных пользователей в течение длительности, установленной для стандартной политики продолжительности блокировки пользователей , равно указанному значению, все стандартные пользователи не смогут отправлять команды, требующие авторизации для доверенного платформенного модуля (TPM). If the total number of authorization failures for all standard users within the duration that is set for the Standard User Lockout Duration policy equals this value, all standard users are prevented from sending commands that require authorization to the Trusted Platform Module (TPM).
Этот параметр помогает администраторам предотвратить вход оборудования TPM в режим блокировки, так как он замедляет выполнение команд, требующих авторизации для доверенного платформенного модуля. This setting helps administrators prevent the TPM hardware from entering a lockout mode because it slows the speed standard users can send commands requiring authorization to the TPM.
Ошибка авторизации возникает каждый раз, когда Стандартный пользователь отправляет команду на доверенный платформенный модуль и получает ответ об ошибке, указывающий на то, что произошла ошибка авторизации. An authorization failure occurs each time a standard user sends a command to the TPM and receives an error response indicating an authorization failure occurred. Ошибки авторизации, предшествующие длительности, игнорируются. Authorization failures older than the duration are ignored.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику блокировки оборудования TPM с помощью центра безопасности защитника Windows. An administrator with the TPM owner password can fully reset the TPM’s hardware lockout logic by using the Windows Defender Security Center. Каждый раз, когда администратор восстанавливает логику блокировки оборудования TPM, все предыдущие стандартные ошибки авторизации доверенного платформенного модуля игнорируются. Each time an administrator resets the TPM’s hardware lockout logic, all prior standard user TPM authorization failures are ignored. Это позволяет обычным пользователям немедленно использовать доверенный платформенный модуль в обычном режиме. This allows standard users to immediately use the TPM normally.
Если вы не настраиваете этот параметр политики, используется значение по умолчанию, равное 9. If you do not configure this policy setting, a default value of 9 is used. Нулевое значение означает, что операционная система не позволит обычным пользователям отправлять команды доверенному платформенному модулю, что может привести к сбою авторизации. A value of zero means that the operating system will not allow standard users to send commands to the TPM, which might cause an authorization failure.
Настройка системы для использования параметров защиты от атак из устаревшего словаря для доверенного платформенного модуля 2,0 Configure the system to use legacy Dictionary Attack Prevention Parameters setting for TPM 2.0
В Windows 10 версии 1703 этот параметр политики настраивает доверенный платформенный модуль для использования словарей параметров защиты от атак (порогового значения блокировки и времени восстановления) для значений, которые использовались в Windows 10 версии 1607 и более ранних версий. Introduced in Windows 10, version 1703, this policy setting configures the TPM to use the Dictionary Attack Prevention Parameters (lockout threshold and recovery time) to the values that were used for Windows 10 Version 1607 and below.
Установка этой политики вступит в силу только в том случае, если: Setting this policy will take effect only if:
- В Windows 10 версии 1607 доверенный платформенный модуль был первоначально подготовлен с помощью версии Windows The TPM was originally prepared using a version of Windows after Windows 10 Version 1607
- В системе установлен доверенный платформенный модуль 2,0. The system has a TPM 2.0.
Включение этого параметра политики вступит в силу только после запуска задачи обслуживания доверенного платформенного модуля (обычно это происходит после перезапуска системы). Enabling this policy will only take effect after the TPM maintenance task runs (which typically happens after a system restart). После включения этой политики в системе и начала работы (после перезапуска системы) ее отключение не повлияет на то, что доверенный платформенный модуль останется настроенным с использованием параметров защиты от атак прежних версий, независимо от значения этой политики. Once this policy has been enabled on a system and has taken effect (after a system restart), disabling it will have no impact and the system’s TPM will remain configured using the legacy Dictionary Attack Prevention parameters, regardless of the value of this group policy. В системе, в которой она была включена, можно использовать только те же способы, что и отключенные параметры этой политики. The only ways for the disabled setting of this policy to take effect on a system where it was once enabled are to either:
- Отключение из групповой политики Disable it from group policy
- Очистка доверенного платформенного модуля в системе Clear the TPM on the system
Параметры групповой политики доверенного платформенного модуля в приложении для обеспечения безопасности Windows TPM Group Policy settings in the Windows Security app
Вы можете указать, какие пользователи видят доверенный платформенный модуль в приложении для обеспечения безопасности Windows. You can change what users see about TPM in the Windows Security app. Параметры групповой политики для зоны доверенного платформенного модуля в приложении для обеспечения безопасности Windows находятся по адресу: The Group Policy settings for the TPM area in the Windows Security app are located at:
Компьютер Configuration\Administrative Templates\Windows Components\Windows Security\Device безопасность Computer Configuration\Administrative Templates\Windows Components\Windows Security\Device security
Отключение кнопки «Очистить доверенный платформенный модуль» Disable the Clear TPM button
Если вы не хотите, чтобы пользователи могли нажать кнопку » Очистить доверенный платформенный модуль » в приложении «безопасность Windows», вы можете отключить ее с помощью этого параметра групповой политики. If you don’t want users to be able to click the Clear TPM button in the Windows Security app, you can disable it with this Group Policy setting. Выберите Enabled (включено ), чтобы сделать кнопку clear TPM недоступной для использования. Select Enabled to make the Clear TPM button unavailable for use.
Скрыть рекомендацию по обновлению встроенного по TPM Hide the TPM Firmware Update recommendation
Если вы не хотите, чтобы пользователи могли видеть рекомендацию по обновлению встроенного по доверенного платформенного модуля, вы можете отключить его с помощью этого параметра. If you don’t want users to see the recommendation to update TPM firmware, you can disable it with this setting. Установите переключатель включить , чтобы пользователи не видели рекомендации по обновлению встроенного микрокода для ДОВЕРЕНного платформенного модуля при обнаружении уязвимого микропрограмм. Select Enabled to prevent users from seeing a recommendation to update their TPM firmware when a vulnerable firmware is detected.