TPM (Trusted Platform Module) -turvapiiri lukitsee itsensä estääkseen luvattoman käsittelyn tai hyökkäyksen. Tätä kutsutaan lukitukseksi. TPM-lukituksen kesto vaihtelee, tai se voi kestää tietokoneen virran katkaisemiseen saakka. Kun TPM-turvapiiri on lukitustilassa, se yleensä palauttaa virheen, kun se vastaanottaa valtuutusarvon edellyttäviä komentoja. Yksi poikkeus tähän on se, että TPM-turvapiiri antaa käyttäjälle ainakin yhden yrityksen nollata TPM-lukitus, kun turvapiiri on lukitustilassa. Jos TPM-turvapiirisi on siirtynyt lukitustilaan tai vastaa komentoihin hitaasti, Microsoft suosittelee lukitusarvon nollaamista. TPM-lukituksen nollaaminen edellyttää TPM-omistajavaltuutusta. TPM-omistajavaltuutus asetetaan, kun järjestelmänvalvoja ensimmäistä kertaa ottaa TPM-turvapiirin omistuksen. Omistajavaltuutuksen salasanasta tehdään hajautusarvo, jonka avulla luodaan TPM-turvapiirin tallentama omistajan valtuutusarvo. Järjestelmänvalvojan tulee tallentaa omistajavaltuutuksen hajautusarvo TPM-omistajasalasanatiedostoon, jonka tunniste on .tpm ja joka sisältää omistajavaltuutuksen hajautusarvon XML-rakenteessa. Tietoturvasyistä TPM-omistajasalasanatiedosto ei sisällä alkuperäistä omistajasalasanaa. TPM-omistajuus otetaan yleensä, kun BitLocker-asemansalaus otetaan käyttöön tietokoneelle ensimmäisen kerran. Tässä tilanteessa TPM-omistajavaltuutuksen salasana tallennetaan yhdessä BitLocker-palautusavaimen kanssa. Kun BitLocker-palautusavain tallennetaan tiedostoon, BitLocker tallentaa myös TPM-omistajasalasanatiedoston (.tpm) TPM-omistajasalasanaan hajautusarvon kanssa. Kun BitLocker-palautusavain tulostetaan, TPM-omistajasalasana tulostetaan samalla. Voit myös tallentaa TPM-omistajasalasanan hajautusarvon Active Directory -toimialueen palveluihin (AD DS), jos organisaatiosi ryhmäkäytäntöasetukset on määritetty tekemään niin.

Tietoja TPM-suojausmekanismeista

Joissakin tilanteissa TPM suojaa salausavaimet edellyttämällä kelvollisen valtuutusarvon, jotta avainta voi käyttää. (Tavallinen esimerkki on TPM-turvapiiriä ja PIN-tunnukseen perustuvaa avainsuojausta käyttämään määritetty BitLocker-asemansalaus, jolloin käyttäjän on annettava oikea PIN-tunnus käynnistysprosessin aikana päästäkseen käyttämään TPM-turvapiirin suojaamaa aseman salausavainta.) TPM-turvapiirit toteuttavat suojauslogiikan suojatakseen pahantahtoisia tahoja selvittämästä valtuutusarvoja. Suojauslogiikka on suunniteltu hidastamaan aikaa, joka kuluu TPM-turvapiirin vastauksen saamiseen, tai lopettamaan vastaukset kokonaan, jos se havaitsee, että jokin taho saattaa yrittää arvata valtuutusarvot.

Trusted Computing Group (TCG) -organisaation alan standardit määrittävät, että TPM-turvapiirien valmistajien on toteutettava jonkinlainen suojauslogiikka TPM 1.2 -piireihin. Eri TPM-turvapiirien valmistajat toteuttavat erilaiset suojauslogiikat ja -toiminnat. Yleinen ohje on se, että TPM-turvapiirin vastausten antamisen tulee kestää eksponentiaalisesti yhä kauemmin ja kauemmin, jos TPM-turvapiirille lähetetään virheellisiä valtuutusarvoja. Jotkin TPM-turvapiirit eivät välttämättä säilytä tietoja epäonnistuneista yrityksistä kauaa. Toiset TPM-turvapiirit saattavat tallentaa jokaisen epäonnistuneen yrityksen pysyvästi. Tämän vuoksi jotkin käyttäjät saattavat kohdata jatkuvasti pidentyviä viiveitä, kun TPM-turvapiirille lähetetään väärin kirjoitettu valtuutusarvo, jolloin heitä lopulta estetään käyttämästä TPM-turvapiiriä tietyn ajanjakson aikana. Käyttäjät voivat nollata TPM-turvapiirin suojausmekanismit tekemällä seuraavat toimet.

Huomautus

TPM-turvapiirin suojauslogiikka koskee myös TPM-omistajavaltuutusarvoa. Alan standardit määrittävät, että käyttäjälle sallitaan vähintään yksi yritys nollata TPM-lukitus käyttämällä omistajavaltuutusarvoa, vaikka TPM-turvapiiri olisi lukitustilassa. Jos TPM-lukitus yritetään nollata antamalla väärä arvo, TPM-turvapiiri saattaa antaa seuraaviin omistajavaltuutusarvon antamisyrityksiin samanlaisen vastauksen kuin oikea arvo olisi virheellinen, tai se saattaa vastata, että TPM on lukittu.

 

TPM-lukituksen nollaaminen
  1. Avaa TPM-hallinta-laajennus (tpm.msc).

  2. Käynnistä ohjattu TPM-lukituksen nollaustoiminto valitsemalla Toiminto-ruudussa Nollaa TPM-lukitus.

  3. Valitse TPM-omistajasalasanan antamistapa:

    • Jos tallensit TPM-omistajasalasanan .tpm-tiedostoon, valitse Minulla on omistajasalasanatiedosto ja kirjoita sitten tiedoston polku tai siirry tiedoston sijaintiin valitsemalla Selaa.

    • Jos haluat antaa TPM-omistajasalasanasi manuaalisesti, valitse Haluan kirjoittaa omistajasalasanan ja kirjoita salasana sitten sille tarkoitettuun kohtaan. Jos olet ottanut BitLockerin ja TPM-turvapiirin käyttöön samalla kertaa ja valitsit BitLocker-palautussalasanan tulostamisen, kun otit BitLockerin käyttöön, TPM-omistajasalasanasi on saatettu tulostaa samalle arkille.

Kun TPM-omistajasalasana on todennettu, näyttöön tulee valintaikkuna, jossa vahvistetaan, että TPM-lukitus nollattiin.

Usein kysytyt kysymykset

Milloin TPM-lukitus tulee nollata?

Todennäköisin tilanne on, että käyttäjät huomaavat käynnistysprosessin aikana vasteaikojen olevan pitkät, kun he käyttävät TPM-turvapiiristä ja PIN-tunnuksesta koostuvaa avainsuojausta ja antavat virheellisen PIN-tunnuksen. Järjestelmä saattaa vaikuttaa lukittuvan joksikin ajaksi, ennen kuin se ilmoittaa käyttäjälle, että annettiin virheellinen PIN-tunnus ja että TPM-turvapiiri on lukittu. Kun TPM on lukittu, on myös mahdollista, että käyttäjä antaa oikean PIN-tunnuksen mutta TPM-turvapiiri vastaa jonkin aikaa kuin olisi annettu virheellinen PIN-tunnus. Samankaltaista toimintaa saattaa ilmetä muilla TPM-turvapiiriä ja valtuutusarvoja käyttävillä sovelluksilla, mutta on todennäköisempää, että vain yksi TPM-turvapiirin kanssa tietoja vaihtava sovellus ei vastaa, jos käyttöjärjestelmä on jo käynnistetty. Koska TPM-turvapiiri saattaa säilyttää tietoja kaikista sille lähetetyistä valtuutusyrityksistä pysyvästi, käyttäjien saattaa kannattaa nollata TPM-lukitus ennakoivasti, jos he kirjoittavat usein virheellisesti valtuutusarvoja, kuten BitLockerin PIN-tunnuksen.

Millaista toimintaa on odotettavissa, jos TPM-suojauslogiikka aktivoidaan valtuutusarvojen suojaamista varten?

Laitteistoympäristön toiminta vaihtelee ympäristön valmistajan valitsemien toteutusvaihtoehtojen mukaan. Laitteistovalmistajat todennäköisesti viivyttävät TPM-turvapiirin antamia vastauksia eksponentiaalisesti. On myös mahdollista, että TPM-turvapiiri antaa vastauksen mutta vastaa jonkin aikaa kuin oikea valtuutusarvo olisi virheellinen. Tarkempia tietoja toiminnasta saat ympäristön valmistajalta.

Jos TPM-turvapiiri on parhaillaan lukittuna BitLockeria käytettäessä, käynnistysprosessin aikana on mahdollisuus joko avata BitLocker-palautuskonsoli tai odottaa, jotta PIN-tunnus voidaan antaa uudelleen.

Kun Windows on käynnistynyt, TPM-hallinta näyttää TPM-turvapiirin tilana lukittu-tilan.

Komennot, joihin liittyy valtuutusarvoja tai jotka yrittävät lähettää TPM-omistajasalasanan TPM-turvapiirille, antavat tulokseksi virheen TPM-turvapiiriltä, kun TPM on lukittuna.

Mitä minun tulee tehdä, jos en muista TPM-omistajasalasanaa?

On mahdollista, että TPM-omistajavaltuutuksen hajautusarvo tallennettiin .tpm-tiedostoon, kun järjestelmänvalvoja otti TPM-turvapiirin omistajuuden ensimmäisen kerran tietokoneessa. Etsi tiedostojärjestelmästä .tpm-tiedostoa. Jos tulostit BitLocker-palautussalasanan, TPM-omistajasalasana on saatettu tulostaa samalla. Jos et löydä TPM-omistajasalasanaa, voit tyhjentää TPM-turvapiirin ja ottaa omistajuuden uudelleen. Tämä tulee tehdä harkiten, koska TPM-turvapiirillä salatut tiedot menetetään. Jos käytät BitLockeria, varmista, että keskeytät tai poistat käytöstä BitLocker-salauksen ennen TPM-turvapiirin tyhjentämistä. Lisätietoja TPM-turvapiirin tyhjentämisestä on ohjeaiheessa TPM-turvapiirin tyhjentäminen.

Onko tärkeää pitää TPM-omistajavaltuutuksen hajautusarvo salassa?

Kyllä. Jos jokin pahantahtoinen taho hankkii TPM-omistajavaltuutuksen hajautusarvon, kyseinen taho saattaa yrittää arvata salausavaimen valtuutusarvon (esimerkiksi BitLockerin PIN-tunnuksen) joitakin kertoja, käyttää TPM-omistajavaltuutuksen hajautusarvoa TPM-lukituksen nollaamiseen ja toistaa tätä jatkuvasti. On todennäköistä, että valtuutusarvo voidaan lopulta selvittää, jos sen koko on pieni.

Mikä on TPM-omistajasalasanan ja TPM-omistajavaltuutuksen hajautusarvon suhde?

TPM-omistajavaltuutuksen hajautusarvo luodaan tekemällä TPM-omistajasalasanasta hajautusarvo SHA-1:n avulla ja koodaamalla se base-64-koodauksella.