TPM-hallinta on MMC (Microsoft Management Console) -laajennus, jonka avulla järjestelmänvalvojat voivat käyttää TPM-palveluita. TPM-palveluiden avulla hallitaan tietokoneen TPM-suojauslaitteistoa. TPM-palvelut tarjoavat infrastruktuurin laitteistopohjaiselle suojaukselle mahdollistamalla TPM-turvapiirin käytön ja jakamisen sovellustasolla.
Mikä on TPM-turvapiiri?
TPM-turvapiiri on mikrosiru, joka on suunniteltu tarjoamaan suojaukseen liittyviä toimintoja erityisesti salausavainten kautta. TPM-turvapiiri asennetaan yleensä tietokoneen emolevylle, ja se on yhteydessä muuhun järjestelmään laitteistoväylän kautta.
TPM-turvapiirin sisältävät tietokoneet voivat luoda salausavaimia ja salata ne niin, että niiden salaus voidaan purkaa vain TPM-turvapiirin avulla. Tämä toiminto, jota usein kutsutaan avaimen paketoimiseksi tai sitomiseksi, suojaa avaimia paljastumiselta. Kullakin TPM-turvapiirillä on oma TPM-turvapiiriin tallennettu pääpaketointiavain, jota kutsutaan säilön pääavaimeksi. TPM-turvapiirissä luodun avaimen yksityistä osaa ei koskaan paljasteta millekään toiselle osalle, ohjelmalle, prosessille tai henkilölle.
TPM-turvapiirin sisältävät tietokoneet voivat luoda myös avaimen, jota ei ole ainoastaan paketoitu, vaan joka on myös määritetty riippuvaiseksi tietyistä käyttöympäristöön liittyvistä mittaustuloksista. Tällainen avain voidaan sitoa vain, kun kyseisten käyttöympäristön mittaustulosten arvot ovat samat kuin avaimen luonnin yhteydessä. Tätä prosessia kutsutaan avaimen sinetöimiseksi TPM-turvapiiriin. Avaimen salauksen purkamista kutsutaan sinetöinnin poistamiseksi. TPM-turvapiiri voi myös sinetöidä TPM-turvapiirin ulkopuolella luotuja tietoja ja poistaa tällaisten tietojen sinetöinnin. Käyttämällä sinetöityä avainta ja BitLocker-asemansalauksen kaltaisia ohjelmia voit lukita tiedot, kunnes määritetyt laitteisto- ja ohjelmistoehdot täyttyvät.
Käytettäessä TPM-turvapiiriä avainparien yksityiset osat säilytetään erillään käyttöjärjestelmän hallitsemasta muistista. Avaimet voidaan liittää TPM-turvapiiriin sinetöimällä, ja tiettyjä järjestelmän luotettavuustilan tarkistuksia voidaan suorittaa ennen avainten sinetöinnin purkamista ja avainten vapauttamista käyttöön. Koska TPM-turvapiiri käyttää omaa sisäistä laitteisto-ohjelmistoaan ja logiikkapiirejään ohjeiden käsittelemiseen, se ei hyödynnä käyttöjärjestelmää, eivätkä siihen täten vaikuta tietosuoja-aukot, joita käyttöjärjestelmässä tai sovelluksessa saattaa olla.
TPM-turvapiiripalveluiden osat
Seuraavassa taulukossa on lueteltu osat, joista TPM-palvelut koostuvat:
| TPM-osa | Tarkoitus |
|---|---|
|
TPM-ohjain |
TPM-ohjain on ydintilan laiteohjain, joka on suunniteltu Trusted Computing Group (TCG) 1.2 -määrityksiä vastaaville TPM-suojauslaitteistoille. TCG 1.2 -määritysten noudattaminen tarjoaa entistä vakaamman käyttöympäristön ja poistaa toimittajakohtaisten laiteohjainten tarpeen. |
|
TPM-peruspalvelut (TBS) |
TBS on palvelu, joka mahdollistaa TPM-turvapiirin rajoitettujen resurssien jakamisen. TBS toimii kaikkien TPM-turvapiiriä käyttävien sovellusten resurssien ohjaajana. |
|
TPM WMI (Windows Management Instrumentation) -toimittaja |
TPM WMI -toimittaja tarjoaa ohjelmallisesti järjestelmänvalvojien käyttöön tavallisia TPM-määritystehtäviä. Järjestelmänvalvojat voivat kirjoittaa tätä toimittajaa käyttävän komentosarjan. |
|
TPM-hallinta-laajennus |
TPM-hallinta-laajennus antaa järjestelmänvalvojien tehdä yleisiä TPM-määritystehtäviä käyttöliittymän kautta. Tämän laajennuksen avulla järjestelmänvalvojat voivat käyttää ohjattua TPM-turvapiirin alustusta. |
|
Ohjattu TPM-turvapiirin alustus |
Ohjattu TPM-turvapiirin alustus ottaa TPM-turvapiirin käyttöön ja määrittää sen toimimaan sitä käyttävien sovellusten tai palveluiden kanssa. Tällainen on muun muassa levyasemien BitLocker-salaus. |
Lisätietoja on muissa tämän ohjetiedoston ohjeaiheissa ja ohjeaiheessa TPM-hallinnan resurssit luetelluissa resursseissa.