TPM (Trusted Platform Module) -turvapiiri lukitsee itsensä estääkseen luvattoman käsittelyn tai hyökkäyksen. Tätä kutsutaan lukitukseksi. TPM-lukituksen kesto vaihtelee, tai se voi kestää tietokoneen virran katkaisemiseen saakka. Kun TPM-turvapiiri on lukitustilassa, se yleensä palauttaa virheen, kun se vastaanottaa valtuutusarvon edellyttäviä komentoja. Yksi poikkeus tähän on se, että TPM-turvapiiri antaa käyttäjälle ainakin yhden yrityksen nollata TPM-lukitus, kun turvapiiri on lukitustilassa. Jos TPM-turvapiirisi on siirtynyt lukitustilaan tai vastaa komentoihin hitaasti, Microsoft suosittelee lukitusarvon nollaamista. TPM-lukituksen nollaaminen edellyttää TPM-omistajavaltuutusta. TPM-omistajavaltuutus asetetaan, kun järjestelmänvalvoja ensimmäistä kertaa ottaa TPM-turvapiirin omistuksen. Omistajavaltuutuksen salasanasta tehdään hajautusarvo, jonka avulla luodaan TPM-turvapiirin tallentama omistajan valtuutusarvo. Järjestelmänvalvojan tulee tallentaa omistajavaltuutuksen hajautusarvo TPM-omistajasalasanatiedostoon, jonka tunniste on .tpm ja joka sisältää omistajavaltuutuksen hajautusarvon XML-rakenteessa. Tietoturvasyistä TPM-omistajasalasanatiedosto ei sisällä alkuperäistä omistajasalasanaa. TPM-omistajuus otetaan yleensä, kun BitLocker-asemansalaus otetaan käyttöön tietokoneelle ensimmäisen kerran. Tässä tilanteessa TPM-omistajavaltuutuksen salasana tallennetaan yhdessä BitLocker-palautusavaimen kanssa. Kun BitLocker-palautusavain tallennetaan tiedostoon, BitLocker tallentaa myös TPM-omistajasalasanatiedoston (.tpm) TPM-omistajasalasanaan hajautusarvon kanssa. Kun BitLocker-palautusavain tulostetaan, TPM-omistajasalasana tulostetaan samalla. Voit myös tallentaa TPM-omistajasalasanan hajautusarvon Active Directory -toimialueen palveluihin (AD DS), jos organisaatiosi ryhmäkäytäntöasetukset on määritetty tekemään niin.
Tietoja TPM-suojausmekanismeista
Joissakin tilanteissa TPM suojaa salausavaimet edellyttämällä kelvollisen valtuutusarvon, jotta avainta voi käyttää. (Tavallinen esimerkki on TPM-turvapiiriä ja PIN-tunnukseen perustuvaa avainsuojausta käyttämään määritetty BitLocker-asemansalaus, jolloin käyttäjän on annettava oikea PIN-tunnus käynnistysprosessin aikana päästäkseen käyttämään TPM-turvapiirin suojaamaa aseman salausavainta.) TPM-turvapiirit toteuttavat suojauslogiikan suojatakseen pahantahtoisia tahoja selvittämästä valtuutusarvoja. Suojauslogiikka on suunniteltu hidastamaan aikaa, joka kuluu TPM-turvapiirin vastauksen saamiseen, tai lopettamaan vastaukset kokonaan, jos se havaitsee, että jokin taho saattaa yrittää arvata valtuutusarvot.
Trusted Computing Group (TCG) -organisaation alan standardit määrittävät, että TPM-turvapiirien valmistajien on toteutettava jonkinlainen suojauslogiikka TPM 1.2 -piireihin. Eri TPM-turvapiirien valmistajat toteuttavat erilaiset suojauslogiikat ja -toiminnat. Yleinen ohje on se, että TPM-turvapiirin vastausten antamisen tulee kestää eksponentiaalisesti yhä kauemmin ja kauemmin, jos TPM-turvapiirille lähetetään virheellisiä valtuutusarvoja. Jotkin TPM-turvapiirit eivät välttämättä säilytä tietoja epäonnistuneista yrityksistä kauaa. Toiset TPM-turvapiirit saattavat tallentaa jokaisen epäonnistuneen yrityksen pysyvästi. Tämän vuoksi jotkin käyttäjät saattavat kohdata jatkuvasti pidentyviä viiveitä, kun TPM-turvapiirille lähetetään väärin kirjoitettu valtuutusarvo, jolloin heitä lopulta estetään käyttämästä TPM-turvapiiriä tietyn ajanjakson aikana. Käyttäjät voivat nollata TPM-turvapiirin suojausmekanismit tekemällä seuraavat toimet.
 | Huomautus |
|
TPM-turvapiirin suojauslogiikka koskee myös TPM-omistajavaltuutusarvoa. Alan standardit määrittävät, että käyttäjälle sallitaan vähintään yksi yritys nollata TPM-lukitus käyttämällä omistajavaltuutusarvoa, vaikka TPM-turvapiiri olisi lukitustilassa. Jos TPM-lukitus yritetään nollata antamalla väärä arvo, TPM-turvapiiri saattaa antaa seuraaviin omistajavaltuutusarvon antamisyrityksiin samanlaisen vastauksen kuin oikea arvo olisi virheellinen, tai se saattaa vastata, että TPM on lukittu. |
 | TPM-lukituksen nollaaminen |
-
Avaa TPM-hallinta-laajennus (tpm.msc).
-
Käynnistä ohjattu TPM-lukituksen nollaustoiminto valitsemalla Toiminto-ruudussa Nollaa TPM-lukitus.
Valitse TPM-omistajasalasanan antamistapa:
- Jos tallensit TPM-omistajasalasanan .tpm-tiedostoon, valitse Minulla on omistajasalasanatiedosto ja kirjoita sitten tiedoston polku tai siirry tiedoston sijaintiin valitsemalla Selaa.
- Jos haluat antaa TPM-omistajasalasanasi manuaalisesti, valitse Haluan kirjoittaa omistajasalasanan ja kirjoita salasana sitten sille tarkoitettuun kohtaan. Jos olet ottanut BitLockerin ja TPM-turvapiirin käyttöön samalla kertaa ja valitsit BitLocker-palautussalasanan tulostamisen, kun otit BitLockerin käyttöön, TPM-omistajasalasanasi on saatettu tulostaa samalle arkille.
- Jos tallensit TPM-omistajasalasanan .tpm-tiedostoon, valitse Minulla on omistajasalasanatiedosto ja kirjoita sitten tiedoston polku tai siirry tiedoston sijaintiin valitsemalla Selaa.
Kun TPM-omistajasalasana on todennettu, näyttöön tulee valintaikkuna, jossa vahvistetaan, että TPM-lukitus nollattiin.
Usein kysytyt kysymykset
Milloin TPM-lukitus tulee nollata?
Todennäköisin tilanne on, että käyttäjät huomaavat käynnistysprosessin aikana vasteaikojen olevan pitkät, kun he käyttävät TPM-turvapiiristä ja PIN-tunnuksesta koostuvaa avainsuojausta ja antavat virheellisen PIN-tunnuksen. Järjestelmä saattaa vaikuttaa lukittuvan joksikin ajaksi, ennen kuin se ilmoittaa käyttäjälle, että annettiin virheellinen PIN-tunnus ja että TPM-turvapiiri on lukittu. Kun TPM on lukittu, on myös mahdollista, että käyttäjä antaa oikean PIN-tunnuksen mutta TPM-turvapiiri vastaa jonkin aikaa kuin olisi annettu virheellinen PIN-tunnus. Samankaltaista toimintaa saattaa ilmetä muilla TPM-turvapiiriä ja valtuutusarvoja käyttävillä sovelluksilla, mutta on todennäköisempää, että vain yksi TPM-turvapiirin kanssa tietoja vaihtava sovellus ei vastaa, jos käyttöjärjestelmä on jo käynnistetty. Koska TPM-turvapiiri saattaa säilyttää tietoja kaikista sille lähetetyistä valtuutusyrityksistä pysyvästi, käyttäjien saattaa kannattaa nollata TPM-lukitus ennakoivasti, jos he kirjoittavat usein virheellisesti valtuutusarvoja, kuten BitLockerin PIN-tunnuksen.
Millaista toimintaa on odotettavissa, jos TPM-suojauslogiikka aktivoidaan valtuutusarvojen suojaamista varten?
Laitteistoympäristön toiminta vaihtelee ympäristön valmistajan valitsemien toteutusvaihtoehtojen mukaan. Laitteistovalmistajat todennäköisesti viivyttävät TPM-turvapiirin antamia vastauksia eksponentiaalisesti. On myös mahdollista, että TPM-turvapiiri antaa vastauksen mutta vastaa jonkin aikaa kuin oikea valtuutusarvo olisi virheellinen. Tarkempia tietoja toiminnasta saat ympäristön valmistajalta.
Jos TPM-turvapiiri on parhaillaan lukittuna BitLockeria käytettäessä, käynnistysprosessin aikana on mahdollisuus joko avata BitLocker-palautuskonsoli tai odottaa, jotta PIN-tunnus voidaan antaa uudelleen.
Kun Windows on käynnistynyt, TPM-hallinta näyttää TPM-turvapiirin tilana lukittu-tilan.
Komennot, joihin liittyy valtuutusarvoja tai jotka yrittävät lähettää TPM-omistajasalasanan TPM-turvapiirille, antavat tulokseksi virheen TPM-turvapiiriltä, kun TPM on lukittuna.
Mitä minun tulee tehdä, jos en muista TPM-omistajasalasanaa?
On mahdollista, että TPM-omistajavaltuutuksen hajautusarvo tallennettiin .tpm-tiedostoon, kun järjestelmänvalvoja otti TPM-turvapiirin omistajuuden ensimmäisen kerran tietokoneessa. Etsi tiedostojärjestelmästä .tpm-tiedostoa. Jos tulostit BitLocker-palautussalasanan, TPM-omistajasalasana on saatettu tulostaa samalla. Jos et löydä TPM-omistajasalasanaa, voit tyhjentää TPM-turvapiirin ja ottaa omistajuuden uudelleen. Tämä tulee tehdä harkiten, koska TPM-turvapiirillä salatut tiedot menetetään. Jos käytät BitLockeria, varmista, että keskeytät tai poistat käytöstä BitLocker-salauksen ennen TPM-turvapiirin tyhjentämistä. Lisätietoja TPM-turvapiirin tyhjentämisestä on ohjeaiheessa TPM-turvapiirin tyhjentäminen.
Onko tärkeää pitää TPM-omistajavaltuutuksen hajautusarvo salassa?
Kyllä. Jos jokin pahantahtoinen taho hankkii TPM-omistajavaltuutuksen hajautusarvon, kyseinen taho saattaa yrittää arvata salausavaimen valtuutusarvon (esimerkiksi BitLockerin PIN-tunnuksen) joitakin kertoja, käyttää TPM-omistajavaltuutuksen hajautusarvoa TPM-lukituksen nollaamiseen ja toistaa tätä jatkuvasti. On todennäköistä, että valtuutusarvo voidaan lopulta selvittää, jos sen koko on pieni.
Mikä on TPM-omistajasalasanan ja TPM-omistajavaltuutuksen hajautusarvon suhde?
TPM-omistajavaltuutuksen hajautusarvo luodaan tekemällä TPM-omistajasalasanasta hajautusarvo SHA-1:n avulla ja koodaamalla se base-64-koodauksella.