Trusted Platform Module (TPM) ינעל את עצמו כדי למנוע טיפול שלא כדין או תקיפה; פעולה זו מכונה נעילה. לעיתים קרובות, נעילת TPM נמשכת פרקי זמן משתנים או עד כיבוי המחשב. בזמן שה- TPM נמצא במצב נעילה, הוא מחזיר בדרך כלל הודעת שגיאה בעת קבלת פקודות הדורשות ערך הרשאה. חריגה אחת מכלל זה היא שה- TPM תמיד מאפשר לבעלים לפחות ניסיון אחד לאפס את נעילת ה- TPM כאשר הוא נמצא במצב נעילה. אם ה- TPM שלך נכנס למצב נעילה או שהוא מגיב לפקודות באיטיות, אנו ממליצים לאפס את ערך הנעילה. איפוס נעילת ה- TPM דורש הרשאת בעלים של ה- TPM. הרשאת בעלים של TPM מוגדרת כאשר מנהל המערכת מקבל בעלות באופן התחלתי על ה- TPM. פעולת Hash מבוצעת על סיסמת הרשאת הבעלים כדי ליצור ערך הרשאת בעלים, המאוחסן על-ידי ה- TPM. אנו ממליצים למנהל המערכת לשמור את ערך ה- Hash של הרשאת הבעלים בקובץ סיסמת בעלים של TPM עם סיומת .tpm, המכיל את ערך ה- Hash של הרשאת הבעלים בתוך מבנה XML. מטעמי אבטחה, קובץ סיסמת הבעלים של ה- TPM אינו מכיל את סיסמת הבעלים המקורית. בעלות על TPM מתקבלת בדרך כלל בפעם הראשונה שבה 'הצפנת כונן של BitLocker' מופעלת עבור המחשב. בתרחיש זה, סיסמת הרשאת הבעלים של ה- TPM נשמרת ביחד עם מפתח השחזור של BitLocker. כאשר מפתח השחזור של BitLocker נשמר בקובץ, BitLocker שומר גם קובץ סיסמת בעלים של TPM (.tpm) עם ערך ה- Hash של סיסמת הבעלים של ה- TPM. כאשר מפתח השחזור של BitLocker מודפס, סיסמת הבעלים של ה- TPM מודפסת באותו זמן. באפשרותך גם לשמור את ערך ה- Hash של סיסמת הבעלים של ה- TPM ב- Active Directory Domain Services (AD DS), אם תצורתן של הגדרות המדיניות הקבוצתית של הארגון שלך נקבעה לעשות כן.
הכרת מנגנוני ההגנה של TPM
בתרחישים מסוימים, מפתחות הצפנה מוגנים על-ידי TPM בכך שנדרש ערך הרשאה חוקי כדי לגשת למפתח (דוגמה נפוצה היא 'הצפנת כונן של BitLocker' שתצורתה נקבעה לשימוש במגן המפתח TPM + PIN, שבו המשתמש חייב להקליד את ה- PIN הנכון בזמן תהליך האתחול כדי לגשת למפתח הצפנת אמצעי האחסון המוגן על-ידי ה- TPM). כדי למנוע מישויות זדוניות לגלות ערכי הרשאה, מערכות TPM מיישמות לוגיקת הגנה. לוגיקת ההגנה נועדה להאט או לעצור תגובות מה- TPM אם הוא מזהה שייתכן כי ישות מנסה לנחש ערכי הרשאה.
תקני התעשיה של ארגון Trusted Computing Group (TCG) מציינים כי יצרני TPM חייבים ליישם סוג כלשהו של לוגיקת הגנה בשבבי TPM 1.2. יצרני TPM שונים מיישמים מנגנוני הגנה ואופני פעולה שונים. ההנחיה הכללית היא כי זמן התגובה של שבב TPM יגדל בצורה מעריכית אם ערכי הרשאה שגויים נשלחים ל- TPM. ייתכן כי שבבי TPM מסוימים לא יאחסנו נסיונות שנכשלו לאורך זמן. שבבי TPM אחרים עשויים לאחסן כל ניסיון שנכשל ללא הגבלה. לכן, ייתכן שחלק מהמשתמשים ייתקלו בעיכובים ארוכים יותר ויותר כאשר יקלידו באופן שגוי ערך הרשאה שנשלח ל- TPM, עובדה המונעת מהם למעשה שימוש ב- TPM לפרק זמן מסוים. משתמשים יכולים לאפס את מנגנוני ההגנה ב- TPM על-ידי ביצוע ההליך הבא.
הערה | |
לוגיקת ההגנה ב- TPM חלה גם על ערך הרשאת הבעלים של ה- TPM. תקני התעשיה מציינים שלמשתמש יינתן ניסיון אחד לפחות לאפס את נעילת ה- TPM באמצעות ערך הרשאת הבעלים, גם כאשר ה- TPM נעול. אם נעשה שימוש בערך השגוי בעת ניסיון לאפס את נעילת ה- TPM, בנסיונות עוקבים להזין את ערך הרשאת הבעלים, ייתכן שה- TPM יגיב כאילו הערך הנכון הוא שגוי או שישיב כי ה- TPM נעול. |
כדי לאפס את נעילת ה- TPM |
-
פתח את יישום ה- Snap-in 'ניהול TPM' (tpm.msc).
-
בחלונית פעולה, לחץ על איפוס נעילת TPM כדי להפעיל את אשף איפוס נעילת TPM.
בחר בשיטה להזנת סיסמת הבעלים של ה- TPM:
- אם שמרת את סיסמת הבעלים של ה- TPM בקובץ .tpm, לחץ על יש לי קובץ סיסמה של הבעלים ולאחר מכן הקלד את הנתיב לקובץ או לחץ על עיון כדי לנווט למיקום הקובץ.
- אם ברצונך להזין את סיסמת הבעלים של ה- TPM באופן ידני, לחץ על ברצוני להזין את סיסמת הבעלים ולאחר מכן הקלד את הסיסמה בשטח המיועד לכך. אם הפכת את BitLocker ואת ה- TPM שלך לזמינים באותו זמן ובחרת להדפיס את סיסמת השחזור של BitLocker כאשר הפעלת את BitLocker, ייתכן שסיסמת הבעלים של ה- TPM הודפסה על אותו דף.
- אם שמרת את סיסמת הבעלים של ה- TPM בקובץ .tpm, לחץ על יש לי קובץ סיסמה של הבעלים ולאחר מכן הקלד את הנתיב לקובץ או לחץ על עיון כדי לנווט למיקום הקובץ.
לאחר אימות סיסמת הבעלים של ה- TPM, מוצגת תיבת דו-שיח המאשרת כי נעילת ה- TPM אופסה.
שאלות נפוצות (FAQ)
מתי עליי לאפס את נעילת ה- TPM?
התרחיש הסביר ביותר הוא שבזמן תהליך האתחול משתמשים יבחינו בזמני תגובה איטיים בעת שימוש במגן מפתח - המורכב מה- TPM ומ- PIN - והזנת ה- PIN השגוי. ייתכן שהמערכת תיראה כאילו קפאה לזמן-מה לפני שתודיע למשתמש שהוזן PIN שגוי ושה- TPM ננעל. כשה- TPM נעול, ייתכן גם שהמשתמש יזין את ה- PIN הנכון, אך ה- TPM יגיב כאילו הוזן ה- PIN השגוי לפרק זמן מסוים. אופן פעולה דומה עשוי להתרחש עבור יישומים אחרים המשתמשים ב- TPM עם ערכי הרשאה, אך סביר יותר שרק היישום המקיים תקשורת עם ה- TPM לא יגיב אם מערכת ההפעלה כבר הופעלה. מאחר ש- TPM עשוי לאחסן את כל נסיונות ההרשאה השגויים שנשלחו אליו ללא הגבלה, ייתכן שמשתמשים ירצו לאפס את נעילת ה- TPM באופן מונע אם הם מקלידים באופן שגוי ערכי הרשאה כגון ה- PIN של BitLocker לעיתים קרובות.
לאיזה אופן פעולה עליי לצפות אם לוגיקת ההגנה של ה- TPM מופעלת כדי להגן על ערכי הרשאה?
אופן הפעולה של פלטפורמת החומרה ישתנה בהתאם לבחירות היישום של יצרן הפלטפורמה. באופן כללי, צפוי כי יצרני חומרה יעכבו באופן מעריכי את התגובות משבב ה- TPM. ייתכן גם כי שבב ה- TPM ימשיך להגיב, אך יגיב כאילו ערך ההרשאה הנכון הוא שגוי לפרק זמן מסוים. לקבלת מידע מפורט יותר אודות אופן פעולה, פנה ליצרן הפלטפורמה שלך.
אם ה- TPM נעול בעת שימוש ב- BitLocker, במהלך תהליך האתחול תהיה הזדמנות לפתוח את מסוף השחזור של BitLocker או להמתין ולהזין מחדש את ה- PIN.
לאחר הפעלת Windows, 'ניהול TPM' יציג את מצב ה- TPM כנעול.
פקודות הכוללות ערכי הרשאה או המנסות לשלוח את סיסמת הבעלים של ה- TPM ל- TPM יגרמו לשגיאה מה- TPM בזמן שה- TPM נעול.
מה עליי לעשות אם איני זוכר את סיסמת הבעלים של ה- TPM?
ייתכן כי ערך ה- Hash של הרשאת הבעלים של ה- TPM נשמר בקובץ עם סיומת .tpm כאשר מנהל המערכת קיבל בעלות באופן מקורי על ה- TPM במחשב שלך. חפש במערכת הקבצים שלך קובץ המסתיים ב- tpm. אם הדפסת את סיסמת שחזור BitLocker שלך, ייתכן שסיסמת הבעלים של ה- TPM הודפסה אף היא באותו זמן. אם אין באפשרותך למצוא את סיסמת הבעלים של ה- TPM, באפשרותך לנקות את ה- TPM ולקבל שוב בעלות. יש לבצע פעולה זו בזהירות, מאחר שנתונים המוצפנים באמצעות ה- TPM יאבדו. אם אתה משתמש ב- BitLocker, הקפד להשעות או לבטל את BitLocker לפני ניקוי ה- TPM. לקבלת מידע נוסף אודות ניקוי ה- TPM, ראה ניקוי ה- TPM.
האם חשוב לשמור על סודיותו של ערך ה- Hash של הרשאת הבעלים של ה- TPM?
כן. אם ישות זדונית משיגה את ערך ה- Hash של הרשאת הבעלים של ה- TPM, הישות יכולה לבצע מספר נסיונות לניחוש ערך הרשאה של מפתח הצפנה (לדוגמה, ה- PIN של BitLocker), להשתמש בערך ה- Hash של הרשאת הבעלים של ה- TPM כדי לאפס את נעילת ה- TPM ולחזור על כך ללא הגבלה. בסופו של דבר, סביר שערך ההרשאה יתגלה אם היה קטן.
כיצד קשורה סיסמת הבעלים של ה- TPM לערך ה- Hash של הרשאת הבעלים של ה- TPM?
עבור סיסמת הבעלים של ה- TPM מבוצעת פעולת Hash באמצעות Sha-1 והיא מקודדת לפי בסיס 64 ליצירת ערך ה- Hash של הרשאת הבעלים של ה- TPM.