TPM-Verwaltung ist ein MMC-Snap-In, das Administratoren die Interaktion mit den TPM-Diensten ermöglicht. TPM-Dienste dienen zum Verwalten der TPM-Sicherheitshardware im Computer. Die Architektur der TPM-Dienste stellt die Infrastruktur für hardwarebasierte Sicherheit zur Verfügung und ermöglicht hierzu auf Anwendungsebene den Zugriff auf die TPM-Funktionen bzw. deren Freigabe.
Was ist ein TPM (Trusted Platform Module)?
Ein TPM ist ein Mikrochip, der grundlegende sicherheitsbezogene Funktionen bereitstellt, hauptsächlich unter Einbeziehung von Verschlüsselungsschlüsseln. Das TPM ist normalerweise auf der Hauptplatine eines Computers installiert und kommuniziert mit dem übrigen System über einen Hardwarebus.
Computer, die über ein TPM verfügen, können Kryptografieschlüssel erstellen und diese so verschlüsseln, dass sie nur durch das TPM wieder entschlüsselt werden können. Durch diesen Vorgang, der häufig als "Schlüsselverschlüsselung" oder "Binden" eines Schlüssels bezeichnet wird, kann ein Offenlegen des Schlüssels verhindert werden. Jedes TPM verfügt über einen Masterschlüssel zur Verschlüsselung, den so genannten Storage Root Key (Storage Root Key, SRK), der im TPM selbst gespeichert wird. Der private Teil eines im TPM erstellten Schlüssels wird niemals gegenüber einer anderen Komponente, einer anderen Software, einem anderen Prozess oder einer anderen Person offen gelegt.
Computer, die über ein TPM verfügen, können auch einen Schlüssel erstellen, der nicht nur doppelt verschlüsselt wurde, sondern der auch an bestimmte Plattformmaße gebunden ist. Diese Art von Schlüssel kann nur dann entschlüsselt werden, wenn diese Plattformmaße dieselben Werte aufweisen wie bei der Erstellung des Schlüssels. Dieser Vorgang wird als "Versiegeln" des Schlüssels im TPM bezeichnet. Das Entschlüsseln des Schlüssels wird als "Aufheben der Versiegelung" bezeichnet. Das TPM kann auch außerhalb von ihm erstellte Daten versiegeln und entsiegeln. Mit diesem versiegelten Schlüssel und einer Software wie BitLocker-Laufwerkverschlüsselung können Sie Daten sperren, bis bestimmte Hardware- oder Softwarebedingungen erfüllt sind.
Mit einem TPM bleiben die privaten Teile von Schlüsselpaaren von dem vom Betriebssystem gesteuerten Arbeitsspeicher getrennt. Schlüssel können im TPM versiegelt werden. Bevor Sie entsiegelt und für die Verwendung freigegeben werden, können Garantien über den Systemstatus ausgegeben werden, die die "Vertrauenswürdigkeit" eines Systems bestimmen. Da das TPM über eine eigene interne Firmware und logische Schaltungen zum Verarbeiten von Anweisungen verfügt, ist es nicht vom Betriebssystem abhängig und keinen Schwachstellen darin oder in Anwendungssoftware ausgesetzt.
Komponenten der Trusted Platform Module-Dienste
In der folgenden Tabelle sind die einzelnen Komponenten aufgelistet, aus denen sich die Funktionsgruppe der TPM-Dienste zusammensetzt.
TPM-Komponente | Zweck |
---|---|
TPM-Treiber |
Der TPM-Treiber ist ein Kernelmodustreiber für TPM-Sicherheitshardware, der die Spezifikationen der Trusted Computing Group (TCG) 1.2 erfüllt. Die Erfüllung von TCG 1.2 sorgt für eine höhere Plattformstabilität und beseitigt die Notwendigkeit für herstellerspezifische Gerätetreiber. |
TPM-Basisdienste (TPM Base Services, TBS) |
TBS ist ein Dienst, der die Freigabe beschränkter Ressourcen im TPM ermöglicht. TBS fungiert als Ressourcencontroller für alle Anwendungen, die das TPM nutzen. |
TPM-WMI-Anbieter (Windows Management Instrumentation) |
Der TPM-WMI-Anbieter ermöglicht Administratoren die programmgesteuerte Durchführung von häufigen TPM-Konfigurationsaufgaben. Administratoren können ein Skript schreiben, das diesen Anbieter verwendet. |
TPM-Verwaltungs-Snap-In |
Das TPM-Verwaltungs-Snap-In stellt eine Benutzeroberfläche bereit, über die Administratoren allgemeine TPM-Konfigurationsaufgaben ausführen können. Administratoren können über dieses Snap-In auf den TPM-Initialisierungs-Assistenten zugreifen. |
TPM-Initialisierungs-Assistent |
Der TPM-Initialisierungs-Assistent dient dazu, das TPM einzuschalten und zu konfigurieren, damit es mit Anwendungen oder Diensten zusammenarbeiten kann, die es benötigen, z. B. die BitLocker-Laufwerksverschlüsselung. |
Weitere Informationen finden Sie in anderen verwandten Themen in dieser Hilfedatei sowie in den Ressourcen, die unter Ressourcen für die TPM-Verwaltung aufgeführt sind.