TPM (Trusted Platform Module) låser sig selv for at forhindre ændringer eller angreb. Dette kaldes spærring. Ofte varierer TPM-spærringens varighed, eller den varer, indtil computeren slukkes. Mens TPM er i spærringstilstand, returnerer den normalt en fejl, når den modtager kommandoer, der kræver en godkendelsesværdi. Èn undtagelse er, at TPM altid tillader ejeren mindst ét forsøg på at nulstille TPM-spærringen, når TPM er i spærringstilstand. Hvis TPM er gået i spærringstilstand eller reagerer langsomt på kommandoer, anbefaler vi, at du nulstiller spærringsværdien. Nulstilling af TPM-spærringen kræver TPM-ejergodkendelse. TPM-ejergodkendelsen angives, når administratoren tildeles TPM-ejerskabet. Adgangskoden til ejergodkendelsen hashes med henblik på at oprette en ejergodkendelsesværdi, der gemmes af TPM. Administratoren opfordres til at gemme hashværdien for ejergodkendelsen i en TPM-ejeradgangskodefil med filtypenavnet .tpm, som indeholder hashværdien for ejergodkendelsen i en XML-struktur. Af sikkerhedsmæssige årsager indeholder filen med TPM-ejergodkendelsen ikke den oprindelige ejeradgangskode. Der tildeles normalt TPM-ejerskab, første gang BitLocker-drevkryptering slås til for computeren. I denne situation gemmes adgangskoden til TPM-ejergodkendelsen sammen med BitLocker-genoprettelsesnøglen. Når BitLocker-genoprettelsesnøglen gemmes i en fil, gemmer BitLocker også en TPM-ejeradgangskodefil (.tpm) med hashværdien for TPM-ejeradgangskoden. Når BitLocker-genoprettelsesnøglen udskrives, udskrives TPM-ejeradgangskoden samtidigt. Du kan også gemme hashværdien for TPM-ejeradgangskoden i Active Directory-domænetjenester (AD DS), hvis virksomhedens indstillinger for Gruppepolitik er konfigureret til dette.
Om TPM-beskyttelsesmekanismer
I nogle situationer beskyttes krypteringsnøgler af en TPM, ved at der kræves en gyldig godkendelsesværdi for at få adgang til nøglen. Et almindeligt eksempel er BitLocker-drevkryptering, der er konfigureret til at bruge TPM- og pinkodenøglebeskytteren, hvor brugeren skal skrive den korrekte pinkode under startprocessen for at få adgang til diskenhedens krypteringsnøgle, der er beskyttet af TPM. Med henblik på at forhindre skadelige enheder i at få adgang til godkendelsesværdier implementerer TPM'er beskyttelseslogik. Beskyttelseslogikken er udviklet til at forhale eller stoppe svar fra TPM, hvis den registrerer, at en enhed forsøger at gætte godkendelsesværdier.
Branchestandarderne fra TCG-organisationen (Trusted Computing Group) angiver, at TPM-producenter skal implementere en form for beskyttelseslogik i TPM 1.2-chip. Forskellige TPM-producenter implementerer forskellige beskyttelsesmekanismer og funktionsmåder. Den generelle retningslinje er, at TPM-chippen skal tage eksponentielt længere tid at svare, hvis der sendes forkerte godkendelsesværdier til TPM. Nogle TPM-chip gemmer muligvis ikke mislykkede forsøg over længere tid. Andre TPM-chip kan gemme alle mislykkede forsøg på ubestemt tid. Derfor kan nogle brugere opleve stadig længere forsinkelser, når de skriver en forkert godkendelsesværdi, der sendes til TPM, hvilket stort set forhindrer dem i at bruge TPM i en tidsperiode. Brugere kan nulstille beskyttelsesmekanismerne i TPM ved at benytte følgende fremgangsmåde.
Bemærk! | |
Beskyttelseslogikken i TPM gælder også for TPM-ejergodkendelsesværdien. Branchestandarderne angiver, at brugeren får mindst ét forsøg til at nulstille TPM-spærringen ved hjælp af brugergodkendelsesværdien, selv når TPM er spærret. Hvis brugeren benytter en forkert værdi, når vedkommende forsøger at nulstille TPM-spærringen, kan TPM i forbindelse med efterfølgende forsøg på at angive ejergodkendelsesværdien reagere, som om den korrekte værdi er forkert, eller svare, at TPM er spærret. |
Sådan nulstille TPM-spærringen |
-
Åbn snap-in'en TPM-administration (tpm.msc).
-
Klik på Nulstil TPM-låsning i ruden Handling for at starte guiden Nulstil TPM-låsning.
Vælg en metode til angivelse af TPM-ejeradgangskoden:
- Hvis du har gemt TPM-ejeradgangskoden i en .tpm-fil, skal du klikke på Jeg har filen med ejeradgangskoden og derefter enten angive stien til filen eller klikke på Gennemse for at navigere til filplaceringen.
- Hvis du vil angive TPM-ejeradgangskoden manuelt, skal du klikke på Jeg vil skrive ejeradgangskoden og derefter skrive adgangskoden i det viste felt. Hvis du aktiverede BitLocker og TPM samtidigt og valgte at udskrive BitLocker-genoprettelsesadgangskoden, da du slog BitLocker til, er TPM-ejeradgangskoden muligvis også blevet udskrevet på det samme papir.
- Hvis du har gemt TPM-ejeradgangskoden i en .tpm-fil, skal du klikke på Jeg har filen med ejeradgangskoden og derefter enten angive stien til filen eller klikke på Gennemse for at navigere til filplaceringen.
Når TPM-ejeradgangskoden er blevet godkendt, vises der en dialogboks, hvor det bekræftes, at TPM-spærringen er blevet nulstillet.
Ofte stillede spørgsmål
Hvornår skal jeg nulstille TPM-spærringen?
Det mest sandsynlige scenario er, at brugerne under startprocessen bemærker langsomme svartider, når de benytter en nøglebeskytter, som består af TPM og en pinkode, og når de angiver en forkert pinkode. Det kan virke som om, at systemet fryser i et stykke tid, inden brugeren bliver informeret om, at der er angivet en forkert pinkode, og at TPM er spærret. Når TPM er spærret, er det også muligt, at brugeren angiver den korrekte pinkode, men i et stykke tid vil TPM reagere som om, at der er angivet en forkert pinkode. Følgende funktionsmåde kan forekomme i forbindelse med andre programmer, der bruger TPM med godkendelsesværdier, men det er mere sandsynligt det program, der kommunikerer med TPM, som ikke vil reagere, hvis operativsystemet allerede er startet. Da en TPM kan gemme alle de forkerte godkendelsesforsøg, der sendes til den, på ubestemt tid, kan brugere vælge proaktivt at nulstille TPM-spærringen, hvis de ofte staver godkendelsesværdier forkert, f.eks. pinkoden til BitLocker.
Hvilken funktionsmåde kan jeg forvente, hvis TPM-beskyttelseslogikken er aktiveret med henblik på at beskytte godkendelsesværdier?
Hardwareplatformens funktionsmåde varierer, afhængigt af de implementeringsvalg som producenten af platformen har foretaget. Generelt kan det forventes, at hardwareproducenter forsinker svar fra TPM-chippen eksponentielt. Det kan også være, at TPM-chippen svarer men reagerer som om, at den korrekte godkendelsesværdi er forkert i et stykke tid. Hvis du vil have flere specifikke oplysninger om funktionsmåden, skal du kontakte producenten af platformen.
Hvis TPM er spærret, når du bruger BitLocker, vil der under startprocessen være mulighed for enten at åbne BitLocker-genoprettelseskonsollen eller vente for at angive pinkoden igen.
Når Windows er startet, vises TPM-statussen som værende aktuelt spærret i TPM-administration.
Alle kommandoer, der indeholder godkendelsesværdier eller forsøger at sende TPM-ejeradgangskoden til TPM, vil resultere i en TPM-fejl, mens TPM er spærret.
Hvad skal jeg gøre, hvis jeg ikke kan huske min TPM-ejeradgangskode?
Det er muligt, at hashværdien for TPM-ejergodkendelsen blev gemt i en fil med filtypenavnet .tpm, da administratoren oprindeligt fik tildelt ejerskab af TPM på din computer. Søg i filsystemet efter en fil med filtypenavnet .tpm. Hvis du har udskrevet din BitLocker-genoprettelsesadgangskode, kan din TPM-ejeradgangskode være blevet udskrevet på samme tid. Hvis du ikke kan finde din TPM-ejeradgangskode, kan du rydde TPM og få tildelt ejerskab igen. Du skal være forsigtig, når du gør dette, da data, som er krypteret med TPM, vil gå tabt. Hvis du bruger BitLocker, skal du sørge for at afbryde BitLocker midlertidigt eller at slå BitLocker fra, inden du rydder TPM. Du kan finde flere oplysninger om, hvordan du rydder TPM, under Rydde TPM.
Er det vigtigt at holde hashværdien for min TPM-ejergodkendelse hemmelig?
Ja. Hvis en skadelig enhed fik adgang til hashværdien for din TPM-ejergodkendelse, kunne enheden foretage adskillige forsøg på at gætte krypteringsnøglens godkendelsesværdi (f.eks. pinkoden til BitLocker), bruge hashværdien for TPM-ejergodkendelsen til at nulstille TPM-spærringen og foretage gentagelser i det uendelige. I den sidste ende bliver godkendelsesværdien sandsynligvis opdaget, hvis størrelsen er lille.
Hvordan er TPM-ejeradgangskoden forbundet med hashværdien for TPM-ejergodkendelse?
TPM-ejeradgangskoden hashes ved hjælp af SHA-1 og base-64-kodes for at oprette hashværdien for TPM-ejergodkendelsen.