تقوم 'الوحدة النمطية للنظام الأساسي الموثوق به' (TPM) بتأمين نفسها لمنع التلاعب أو الهجوم؛ ويشار إلى هذا الإجراء بالتأمين. يستمر تأمين TPM غالباً لفترات مختلفة من الوقت أو حتى يتم إيقاف تشغيل الكمبيوتر. عندما تكون TPM في وضع التأمين، فهي بشكل عام تقوم بإرجاع خطأ عند تلقيها لأوامر تتطلب قيمة التخويل. وهناك استثناء واحد وهو أن TPM تسمح دوماً للمالك بمحاولة واحدة على الأقل لإعادة تعيين تأمين TPM عندما تكون في وضع التأمين. في حالة دخول TPM إلى وضع التأمين أو إذا كانت تستجيب ببطء للأوامر، فمن المستحسن إعادة تعيين قيمة التأمين. يتطلب إعادة تعيين تأمين TPM الحصول على تخويل مالك TPM. يتم تعيين تخويل مالك TPM عندما يحصل المسؤول على ملكية TPM ابتداءً. يتم تجزئة كلمة مرور تخويل المالك لإنشاء قيمة تخويل المالك التي يتم تخزينها بواسطة TPM. ويُفَضل أن يقوم المسؤول بحفظ قيمة تجزئة تخويل المالك في ملف كلمة المرور الخاصة بمالك TPM الذي ينتهي بملحق اسم الملف tpm. ويحتوي على قيمة تجزئة تخويل المالك في بنية XML. للأمان، لا يحتوي ملف كلمة المرور الخاصة بمالك TPM على كلمة مرور المالك الأصلية. يتم الحصول على ملكية TPM عموماً في أول مرة يتم فيها تشغيل 'تشفير المحركات باستخدام BitLocker' ‏(BitLocker Drive Encryption) للكمبيوتر. في هذا السيناريو، يتم حفظ كلمة مرور تخويل مالك TPM مع مفتاح استرداد BitLocker. عندما يتم حفظ مفتاح استرداد BitLocker في ملف، يقوم BitLocker أيضاً بحفظ ملف كلمة مرور مالك TPM‏ (‎.tpm) مع قيمة تجزئة كلمة مرور مالك TPM. وعندما يتم طباعة مفتاح استرداد BitLocker، تتم طباعة كلمة مرور مالك TPM في نفس الوقت. يمكنك أيضاً حفظ قيمة تجزئة كلمة مرور مالك TPM في خدمات مجال Active Directory‏ (AD DS) إذا تم تكوين إعدادات 'نهج المجموعة' الخاص بالمؤسسة للقيام بذلك.

فهم آليات حماية TPM

في بعض السيناريوهات، يتم حماية مفاتيح التشفير بواسطة TPM عن طريق طلب قيمة تخويل صحيحة للوصول إلى المفتاح. (وهناك مثال شائع وهو تكوين BitLocker Drive Encryption لاستخدام TPM بالإضافة إلى أداة حماية مفتاح PIN، حيث يجب على المستخدم كتابة رقم PIN الصحيح أثناء عملية التشغيل للوصول إلى مفتاح تشفير وحدة التخزين المحمي بواسطة TPM.) لمنع الكيانات الضارة من اكتشاف قيم التخويل، تقوم TPM بتطبيق منطق الحماية. يتم تصميم منطق الحماية لتخفيض سرعة استجابات TPM أو إيقافها إذا اكتشفت أن هناك أحد الكيانات تحاول تخمين قيم التخويل.

تُلزِم مقاييس الصناعة التي حددتها منظمة 'مجموعة الحوسبة الموثوق بها' (TCG) الشركات المصنِّعة لـ TPM بتطبيق بعض نماذج منطق الحماية في شرائح TPM الإصدار ‎1.2. تقوم الشركات المصنِّعة المختلفة لـ TPM بتطبيق آليات حماية مختلفة وسلوك مختلف. تكون وظيفة الإرشاد العام لتجعل شريحة TPM تستغرق وقتاً أطول في الاستجابة في حالة إرسال قيم تخويل غير صحيحة إلى TPM. قد لا تقوم بعض شرائح TPM بتخزين المحاولات الفاشلة بمرور الوقت. بينما تقوم شرائح TPM الأخرى بتخزين كل محاولة فاشلة بشكل غير محدود. ولذلك، فقد يواجه بعض المستخدمين تأخيرات طويلة بشكل متزايد عند كتابة قيمة تخويل خاطئة يتم إرسالها إلى TPM، مما يمنعهم من استخدام TPM بشكل أساسي لفترة من الوقت. وقد يقوم المستخدمون بإعادة تعيين آليات الحماية في TPM عن طريق إكمال الإجراءات التالية.

ملاحظة

يتم أيضاً تطبيق منطق الحماية في TPM على قيمة تخويل مالك TPM. تقوم مقاييس الصناعة بتحديد السماح للمستخدم بإعادة تعيين تأمين TPM لمرة واحدة على الأقل عن طريق استخدام قيمة تخويل المالك حتى عندما يتم تأمين TPM. في حالة استخدام قيمة خاطئة عند محاولة إعادة تعيين تأمين TPM، فقد تستجيب TPM كما لو كانت القيمة الصحيحة هي قيمة خاطئة أو ترسل استجابة بأنه قد تم تأمين TPM في المحاولات التالية لإدخال قيمة تخويل المالك.

 

إعادة تعيين تأمين TPM
  1. قم بفتح الأداة الإضافية 'إدارة TPM‏' (TPM Management)‏ (tpm.msc).

  2. في الجزء Action، انقر فوق Reset TPM Lockout لبدء معالج Reset TPM Lockout.

  3. اختر أسلوب إدخال كلمة مرور مالك TPM:

    • إذا قمت بحفظ كلمة مرور مالك TPM في ملف tpm.، انقر فوق I have the owner password file، واكتب مسار الملف أو انقر فوق Browse للانتقال إلى موقع الملف.

    • وإذا كنت تريد إدخال كلمة مرور مالك TPM يدوياً، انقر فوق I want to enter the owner password، ثم اكتب كلمة المرور في المساحة المخصصة لذلك. وإذا قمت بتمكين BitLocker و TPM في نفس الوقت، وقمت باختيار طباعة كلمة مرور استرداد BitLocker أثناء تشغيل BitLocker، فقد يتم أيضاً طباعة كلمة مرور مالك TPM في نفس الصفحة.

بمجرد أن تتم المصادقة على كلمة مرور مالك TPM، يتم عرض مربع حوار يؤكد أنه تم إعادة تعيين تأمين TPM.

الأسئلة المتداولة (FAQ)

متى يجب القيام بإعادة تعيين تأمين TPM؟

إن السيناريو الأكثر حدوثاً هو أنه سيلاحظ المستخدمون أثناء عملية التشغيل بطء في مرات تلقي الاستجابة عند استخدام أداة حماية المفاتيح- التي تتضمن TPM و رقم ‎-PIN في حالة إدخال رقم PIN غير صحيح. قد يبدو النظام متجمداً لفترة من الوقت قبل إعلام المستخدم أنه قد تم إدخال رقم PIN غير صحيح، وأنه قد تم تأمين TPM. في حالة تأمين TPM، من المحتمل أيضاً أن يقوم المستخدم بإدخال رقم PIN صحيح، لكن TPM تستجيب كما لو كان قد تم إدخال رقم PIN غير صحيح لفترة من الوقت. وقد يحدث نفس الشيء مع التطبيقات الأخرى التي تستخدم TPM مع قيم التخويل، لكن من المرجح أن يكون التطبيق الذي يقوم بالاتصال بـ TPM غير مستجيب فقط إذا تم بدء نظام التشغيل مسبقاً. ولأن TPM قد تقوم بتخزين كافة محاولات التخويل غير الصحيحة التي يتم إرسالها إليها بشكل غير محدود، فقد يرغب بعض المستخدمين في إعادة تعيين تأمين TPM في حالة كتابة قيم التخويل في أحوال كثيرة بشكل خاطئ مثل رقم PIN الخاص بـ BitLocker.

ما السلوك المتوقع في حالة تنشيط منطق حماية TPM لحماية قيم التخويل؟

يختلف سلوك النظام الأساسي للجهاز وفقاً لخيارات التطبيق التي يتم إجراؤها بواسطة الشركة المصنِّعة للنظام الأساسي. ومن المتوقع بشكل عام أن تقوم الشركات المصنِّعة للأجهزة بتأخير الاستجابات بشكل تصاعدي من شريحة TPM. ومن المحتمل أيضاً أن تستجيب شريحة TPM، لكنها ستستجيب كما لو كانت قيمة التخويل الصحيحة هي قيمة غير صحيحة لفترة من الوقت. للحصول على معلومات أكثر تخصيصاً حول السلوك، قم بالاتصال بالشركة المصنِّعة للنظام الأساسي.

إذا كانت TPM قيد التأمين حالياً عند استخدام BitLocker، فستكون هناك فرصة أثناء عملية التشغيل إما لفتح وحدة تحكم استرداد BitLocker أو الانتظار لإعادة إدخال رقم PIN.

بمجرد بدء تشغيل Windows، فستقوم TPM Management بعرض حالة TPM في أثناء تأمينها حالياً.

تتسبب أي أوامر تتضمن قيم التخويل أو محاولة إرسال كلمة مرور مالك TPM إلى TPM في حدوث خطأ في TPM أثناء تأمينها.

ما الإجراء الذي يجب اتخاذه في حالة عدم تذكر كلمة مرور مالك TPM؟

من المحتمل أن تكون قيمة تجزئة تخويل مالك TPM قد تم تخزينها في ملف ينتهي بملحق اسم الملف tpm. عندما يحصل المسؤول على ملكية TPM بشكل أساسي على جهاز الكمبيوتر. ابحث في نظام الملفات عن ملف ينتهي بـ '‎'.tpm. إذا قمت بطباعة كلمة مرور استرداد BitLocker، فقد يتم أيضاً طباعة كلمة مرور مالك TPM في نفس الوقت. إذا لم تتمكن من العثور على كلمة مرور مالك TPM، يمكنك مسح TPM والحصول على الملكية مرة أخرى. ويجب أن تقوم بهذا الإجراء بحذر لأنه سيتم فقد البيانات التي تم تشفيرها باستخدام TPM. وإذا كنت تستخدم BitLocker، فتأكد من إيقاف BitLocker مؤقتاً أو إيقاف تشغيله قبل مسح TPM. لمزيد من المعلومات حول مسح TPM، راجع مسح TPM.

هل من الضروري الحفاظ على سرية قيمة تجزئة تخويل مالك TPM؟

نعم. إذا حصل أحد الكيانات الضارة على قيمة تجزئة تخويل مالك TPM الخاصة بك، فقد يقوم هذا الكيان بعدة محاولات لتخمين قيمة تخويل مفتاح التشفير (على سبيل المثال رقم PIN الخاص بـ BitLocker)، وكذلك استخدام قيمة تجزئة تخويل المالك لإعادة تعيين تأمين TPM، وتكرار ذلك بشكل غير محدود. ومن المرجح في النهاية أن يتم اكتشاف قيمة التخويل إذا كان حجمها صغيراً.

ما هي علاقة كلمة مرور مالك TPM بقيمة تجزئة تخويل مالك TPM؟

يتم تجزئة كلمة مرور مالك TPM عن طريق استخدام SHA-1، ويتم ترميزها باستخدام base-64 لإنشاء قيمة تجزئة تخويل مالك TPM.