'ניהול TPM' הוא יישום Snap-in של Microsoft Management Console (MMC) המאפשר למנהלי מערכת לקיים אינטראקציה עם 'שירותי Trusted Platform Module (TPM)'. 'שירותי TPM' משמשים לניהול חומרת האבטחה של TPM במחשב שלך. הארכיטקטורה של 'שירותי TPM' מספקת את התשתית עבור אבטחה מבוססת-חומרה באמצעות מתן גישה לשיתוף ה- TPM ברמת היישום והבטחת השיתוף.
מהו Trusted Platform Module?
TPM הוא שבב המיועד לספק פונקציות בסיסיות הקשורות לאבטחה, המשלבות קודם כל מפתחות הצפנה. ה- TPM מותקן בדרך כלל בלוח האם של מחשב ומקיים תקשורת עם שאר המערכת באמצעות אפיק חומרה.
מחשבים הכוללים TPM יכולים ליצור מפתחות הצפנה ולהצפין אותם כך שניתן יהיה לפענח אותם רק באמצעות ה- TPM. תהליך זה, המכונה בדרך כלל "עיטוף" או "קשירה" של מפתח, עשוי לסייע בהגנה על המפתח מפני גילוי. לכל TPM יש מפתח "עיטוף" ראשי, הנקרא מפתח בסיס לאחסון, אשר מאוחסן ב- TPM עצמו. החלק הפרטי של מפתח שנוצר ב- TPM אינו מתגלה לעולם לאף רכיב, תוכנה, תהליך או אדם אחרים.
מחשבים הכוללים TPM יכולים גם ליצור מפתח שלא רק נעטף, אלא גם נקשר לתנאי פלטפורמה מסוימים. ניתן לבטל את עטיפתו של סוג מפתח זה רק כאשר תנאי פלטפורמה אלה הם בעלי אותם ערכים כמו שהיו להם בעת יצירת המפתח. תהליך זה נקרא "חתימה" של המפתח ל- TPM. פענוח המפתח מכונה "הסרת חותם". ה- TPM יכול לחתום ולהסיר חותם גם מנתונים שנוצרו מחוץ ל- TPM. עם מפתח חתום זה ותוכנה כגון 'הצפנת כונן של BitLocker', באפשרותך לנעול נתונים עד שיתקיימו תנאי חומרה או תוכנה ספציפיים.
ב- TPM, חלקים פרטיים של זוגות מפתחות נשמרים בנפרד מהזיכרון הנשלט על-ידי מערכת ההפעלה. ניתן לחתום מפתחות ל- TPM וניתן ליצור מספר בטוחות בנוגע למצב המערכת - בטוחות המגדירות את "מהימנות" המערכת - לפני הסרת החותם מהמפתחות ושחרורם לשימוש. מאחר שה- TPM משתמש בקושחה הפנימית שלו ובמעגלים לוגיים לעיבוד הוראות, הוא אינו תלוי במערכת ההפעלה ואינו חשוף לפגיעות שעשויה להיות קיימת במערכת ההפעלה או ביישום תוכנה.
רכיבים של 'שירותי Trusted Platform Module'
בטבלה הבאה מפורטים הרכיבים השונים המרכיבים את ערכת התכונות של 'שירותי TPM':
| רכיב TPM | מטרה |
|---|---|
|
מנהל התקן TPM |
מנהל התקן ה- TPM הוא מנהל התקן במצב ליבה, המיועד לחומרת אבטחה של TPM, התואם למפרטים של Trusted Computing Group (TCG) 1.2. תאימות ל- TCG 1.2 מספקת יציבות מערכת רבה יותר ומבטלת את הצורך במנהלי התקנים ספציפיים-למשווק. |
|
TPM Base Services (TBS) |
TBS הוא שירות המספק שיתוף של המשאבים המוגבלים ב- TPM. TBS פועל כבקר המשאבים עבור כל היישומים המשתמשים ב- TPM. |
|
ספק Windows Management Instrumentation (WMI) של TPM |
ספק TPM WMI חושף משימות הגדרת תצורה נפוצות של TPM בפני מנהלים באופן תכנותי. מנהלי מערכת יכולים לכתוב קובץ Script המשתמש בספק זה. |
|
יישום ה- Snap-in של 'ניהול TPM' |
יישום ה- Snap-in של 'ניהול TPM' מציג משימות קביעת תצורה נפוצות של TPM למנהלי מערכת באמצעות ממשק משתמש. מנהלי מערכת יכולים להשתמש ביישום Snap-in זה כדי לגשת אל אשף אתחול TPM. |
|
אשף האתחול של TPM |
מטרתו של 'אשף האתחול של TPM' היא להפעיל ולהגדיר את ה- TPM לפעולה עם יישומים או שירותים המשתמשים ב- TPM, כגון 'הצפנת כונן של BitLocker'. |
לקבלת מידע נוסף, סקור נושאים אחרים בקובץ עזרה זה ואת המשאבים המפורטים בנושא משאבים עבור 'ניהול TPM'.