TPM 基础知识
------------------------------------------
本主题简单介绍受信任的平台模块 (TPM 1.2 和 TPM 2.0) 并介绍了如何使用它们缓解字典攻击。
TPM (受信任的平台模块) 是一种微芯片,旨在提供与安全性相关的基本功能,主要涉及加密密钥。 TPM 通常安装在计算机的主板上,并且它使用硬件总线与系统的其余部分进行通信。
合并 TPM 的计算机可以创建加密密钥并对其进行加密,以便 TPM 只能解密它们。 此过程通常称为打包或绑定密钥,有助于保护密钥免遭泄露。 每个 TPM 都有一个主包装密钥,称为存储根密钥,存储在 TPM 本身中。 在 TPM 中创建的存储根密钥或认可密钥的私有部分永远不会向任何其他组件、软件、进程或用户公开。
您可以指定是否可以迁移 TPM 创建的加密密钥。 如果指定可以迁移它们,密钥的公用和私有部分可以公开给其他组件、软件、进程或用户。 如果指定无法迁移加密密钥,则密钥的私有部分永远不会在 TPM 外部公开。
合并 TPM 的计算机还可以创建一个密钥,该密钥不仅被封装,而且还与某些平台度量关联。 只有在这些平台测量具有与创建密钥时相同的值时,才能取消包装此类密钥。 此过程称为"将密钥封装到 TPM"。 解密密钥称为解封。 TPM 还可以封装和解封在 TPM 外部生成的数据。 通过此密封密钥和软件(如 BitLocker 驱动器加密)可以锁定数据,直到满足特定的硬件或软件条件。
使用 TPM,密钥对的私有部分与操作系统控制的内存保持分开。 密钥可以密封到 TPM,并且可以在解封并释放密钥供使用之前,对定义系统) 可信度的系统 (保证的状态进行某些保证。 由于 TPM 使用自己的内部固件和逻辑电路处理指令,因此它不依赖于操作系统,并且不会暴露给操作系统或应用程序软件中可能存在的漏洞。
Windows 10 中引入了以下组策略设置。
从 Windows 10 版本 1607 和 Windows Server 2016 开始,Windows 不再使用此策略设置,但它会继续显示在 GPEdit.msc 中,以与以前版本兼容。 从 Windows 10 版本 1703 开始,默认值为 5。 此值在预配期间实现,以便其他 Windows 组件可以删除它或获得它的所有权,具体取决于系统配置。 对于 TPM 2.0,值 5 表示保留锁定授权。 对于 TPM 1.2,这意味着放弃完整的 TPM 所有者授权并仅保留委派授权。
此策略设置配置本地计算机的注册表中存储的 TPM 授权值。 若要允许 Windows 执行某些操作,需要某些授权值。
配置可用于操作系统的 TPM 所有者授权信息的级别
有三个 TPM 所有者身份验证设置由 Windows 操作系统管理。 可以选择"完全"、"****委派" 或"无 "值。
完整 : 此设置将完整的 TPM 所有者授权、TPM 管理委派 blob 和 TPM 用户委派 blob 存储在本地注册表中。 通过此设置,无需远程或外部存储 TPM 所有者授权值,即可使用 TPM。 此设置适用于不需要重置 TPM 反攻击逻辑或更改 TPM 所有者授权值的方案。 某些基于 TPM 的应用程序可能需要先更改此设置,然后才能使用依赖于 TPM 反攻击逻辑的功能。 TPM 1.2 中的完全所有者授权类似于 TPM 2.0 中的锁定授权。 所有者授权对于 TPM 2.0 具有不同的含义。
委派: 此设置仅存储本地注册表中的 TPM 管理委派 blob 和 TPM 用户委派 blob。 此设置适用于基于 TPM 的应用程序,这些应用程序依赖于 TPM 防放大逻辑。 这是 Windows 版本 1703 之前的默认设置。
无 : 此设置提供与以前的操作系统和应用程序兼容性。 还可以在 TPM 所有者授权无法本地存储的情况下使用它。 使用此设置可能会导致某些基于 TPM 的应用程序产生问题。
注册表信息 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD:OSManagedAuthLevel 下表显示了注册表中的 TPM 所有者授权值。
如果启用此策略设置,Windows 操作系统将按照你选择的 TPM 身份验证设置将 TPM 所有者授权存储在本地计算机的注册表中。 在版本 1607 之前的 Windows 10 上,如果禁用或不配置此策略设置,并且"启用 TPM 备份到 Active Directory 域服务"策略设置也禁用或不配置,则默认设置是在本地注册表中存储完整的 TPM 授权值。 如果禁用或不配置此策略,并且启用了"启用到 Active Directory 域服务的 TPM 备份"策略设置,则本地注册表中仅存储管理委派和用户委派 blob。
| 
