A platformmegbízhatósági modul (TPM) az illetéktelen módosítás és támadás megelőzése érdekében lezárja saját magát; ezt a későbbiekben zárolásnak hívjuk. A TPM zárolása gyakran változóan hosszú ideig, vagy a számítógép kikapcsolásáig tart. Amíg a TPM modul zárolt üzemmódban van, általában hibajelzést küld vissza tulajdonosazonosító értéket kérő parancs érkezésekor. Ez alól az egyetlen kivétel, hogy a TPM modul mindig engedélyez legalább egy kísérletet a tulajdonosnak a TPM zárolásának feloldására, amikor zárolt üzemmódban van. Azt ajánljuk, állítsa vissza a zárolás értékét, ha a TPM zárolt üzemmódba lépett, vagy lassan reagál a parancsokra. A TPM modul zárolásának visszaállításához a TPM tulajdonosazonosító szükséges. A TPM tulajdonosazonosító akkor állítja be a rendszer, amikor a rendszergazda először tulajdonába veszi a TPM modult. A tulajdonosazonosító jelszóból kivonatolás révén tulajdonosazonosító érték jön létre, amelyet a TPM modul tárol. A rendszergazdának ajánlott elmenteni a tulajdonosazonosító kivonatértékét egy .tpm fájlkiterjesztésű TPM-tulajdonosi jelszófájlba, amely XML-struktúrában tartalmazza a tulajdonosazonosító hash-értéket. Biztonsági okok miatt a TPM-tulajdonosi jelszó fájl nem tartalmazza az eredeti tulajdonosi jelszót. A TPM modul tulajdonjogát általában akkor kell megszerezni, amikor először bekapcsolja a számítógépen a BitLocker meghajtótitkosítást. Ebben az esetben a TPM tulajdonosazonosító jelszó a BitLocker helyreállítási kulccsal együtt kerül mentésre. A BitLocker helyreállítási kulcs fájlba mentésekor a BitLocker a TPM-tulajdonosi jelszó fájlt is menti (.tpm) a TPM-tulajdonosi jelszó kivonatértékével. A BitLocker helyreállítási kulcs nyomtatásával egy időben történik a TPM-tulajdonosi jelszó nyomtatása. A TPM-tulajdonosi jelszó kivonatértékét az Active Directory tartományi szolgáltatásokban (AD DS) is mentheti, ha a szervezet csoportházirend beállításai ezt lehetővé teszik.
Tudnivalók a TPM modul védelmi mechanizmusairól
Bizonyos esetekben a TPM modul érvényes tulajdonosazonosító értéket kér a titkosítási kulcsokhoz történő hozzáféréshez. (Ennek gyakori példája, amikor a BitLocker meghajtótitkosítás TPM + PIN kulcsvédő használatára van konfigurálva. Ebben az esetben a felhasználónak a rendszerindítási folyamat során meg kell adnia a helyes PIN azonosítót, hogy hozzá tudjon férni a TPM modul által védett kötettitkosítási kulcshoz.) A TPM modulok védelmi logikát alkalmaznak annak megakadályozására, hogy a rosszindulatú entitások megtalálják a tulajdonosazonosító értékeket. A védelmi logikát úgy tervezték meg, hogy lelassítsa vagy megakadályozza a TPM modul válaszát, ha azt észleli, hogy valamely entitás próbálja kitalálni az azonosítóértékeket.
A Trusted Computing Group (TCG) szervezet iparági szabványai szerint a TPM modul gyártóinak a TPM 1.2 lapkáknál alkalmazniuk kell a védelmi logika valamilyen formáját. A különböző TPM lapka gyártók eltérő védelmi mechanizmusokat és viselkedést alkalmaznak. Általános irányelvként a TPM lapka exponenciálisan növekvő válaszidőket kell hogy alkalmazzon, ha a TPM modul helytelen azonosítóértékeket kap. Bizonyos TPM lapkák esetleg nem tárolják a hibás próbálkozásokat adott időtartamon túl. Más TPM lapkák esetleg örökre tárolnak minden hibás próbálkozást. Ennek következtében bizonyos felhasználók egyre hosszabb várakozási időket tapasztalhatnak, ha elgépelik a TPM modulnak küldött azonosítóértékeket. Mindez tulajdonképpen bizonyos ideig megakadályozhatja őket a TPM modul használatában. A következő eljárás lépéseinek követésével a felhasználók esetleg visszaállíthatják a TPM modul védelmi mechanizmusait.
Megjegyzés | |
A TPM védelmi logikája a TPM modul tulajdonosazonosító értékére is vonatkozik. Az iparági szabvány meghatározásának megfelelően a felhasználó a tulajdonosazonosító érték használatával legalább egyszer visszaállíthatja a TPM zárolását, még akkor is, ha a TPM le lett zárva. Amennyiben a TPM zárolásának visszaállításához nem a megfelelő értéket használták, és ismét próbálkoznak a tulajdonosazonosító érték megadásával, a TPM helyes érték megadásakor is azt a választ adhatja, hogy az érték helytelen, vagy hogy a TPM zárolva van. |
A TPM zárolásának alaphelyzetbe állítása |
-
Nyissa meg a TPM kezelése (tpm.msc) beépülő modult.
-
A TPM zárolásának alaphelyzetbe állítása varázsló elindításához kattintson a Művelet ablaktábla TPM zárolásának alaphelyzetbe állítása pontjára.
Válassza ki a TPM-tulajdonosi jelszó megadásának módját:
- Ha a TPM-tulajdonosi jelszót .tpm fájlba mentette, kattintson a Rendelkezem tulajdonosijelszó-fájllal pontra, aztán vagy adja meg a fájl elérési útját, vagy kattintson a Tallózás gombra a fájl helyének megkereséséhez.
- Ha saját maga kívánja megadni a TPM-tulajdonosi jelszót, kattintson a Be szeretném írni a TPM-tulajdonosi jelszót pontra, majd írja be a megjelenő mezőbe a jelszót. Ha egyidejűleg engedélyezi a BitLocker és a TPM modult is, és a BitLocker bekapcsolásakor azt választja, hogy kinyomtatja a BitLocker helyreállítási jelszót, lehet, hogy a TPM-tulajdonosi jelszava is ki lesz nyomtatva ugyanarra a papírra.
- Ha a TPM-tulajdonosi jelszót .tpm fájlba mentette, kattintson a Rendelkezem tulajdonosijelszó-fájllal pontra, aztán vagy adja meg a fájl elérési útját, vagy kattintson a Tallózás gombra a fájl helyének megkereséséhez.
A TPM-tulajdonosi jelszó hitelesítését követően megjelenik a TPM zárolásának alaphelyzetbe állítását megerősítő párbeszédpanel.
Gyakori kérdések
Mikor kell a TPM zárolását alaphelyzetbe állítani?
A legvalószínűbb forgatókönyv szerint a felhasználók a rendszerindítási folyamat közben, TPM modult és PIN kódot tartalmazó kulcsvédő használata esetén hosszú reakcióidőket tapasztalnak, ha a megadott PIN nem volt megfelelő. Úgy tűnhet, hogy a rendszer lefagyott egy időre, majd értesíti a felhasználót, hogy helytelen PIN kódot adott meg, és hogy a TPM modul zárolva van. A TPM modul zárolása esetén az is előfordulhat, hogy a felhasználó a megfelelő PIN kódot adja meg, de a TPM egy ideig úgy válaszol, mintha helytelen PIN kód lett volna megadva. A TPM modult azonosítóértékkel használó egyéb alkalmazások esetében is előfordulhat hasonló viselkedés, de ha az operációs rendszer már elindult, valószínűbb, hogy csak az az alkalmazás nem fog válaszolni, amelyik a TPM modullal kommunikál. Mivel előfordulhat, hogy a TPM modul végleg megjegyez minden helytelen azonosítási próbálkozást, a felhasználók megelőzésképpen alaphelyzetbe állíthatják a TPM zárolását, ha gyakran írják be rosszul az azonosítóértékeket, például a BitLocker PIN kódját.
Milyen viselkedés várható, ha az azonosítóértékek védelme érdekében a TPM védelmi logikája aktiválva van?
A hardverplatform viselkedése a gyártó által alkalmazott megvalósítási módszerektől függően változik. Általában azt lehet feltételezni, hogy a hardvergyártók a TPM lapka válaszait exponenciálisan növekvő mértékben fogják késleltetni. Az is lehetséges, hogy a TPM lapka válasza nem késik, de egy ideig megfelelő azonosítóérték esetén is úgy válaszol, mintha az érték helytelen volna. A TPM viselkedésére vonatkozó pontosabb információkért forduljon a platform gyártójához.
Ha a BitLocker használata közben a TPM modul zárolva van, a rendszerindítási folyamat közben meg lehet nyitni a BitLocker helyreállítási konzolt, vagy várni lehet a PIN kód ismételt megadására.
Ha már elindult a Windows, a TPM kezelése konzol a TPM modul állapotát jelenleg zároltként jelzi ki.
Amíg a TPM zárolva van, minden azonosítóértékekkel kapcsolatos parancs vagy a TPM-tulajdonosi jelszó a TPM modulnak történő elküldésére irányuló próbálkozás a TPM hibajelzését eredményezi.
Mi a teendő, ha elfelejtettem a TPM tulajdonosi jelszavam?
Lehetséges, hogy amikor a rendszergazda eredetileg tulajdonába vette a számítógép TPM modulját, a TPM tulajdonosazonosító hash-érték mentésre került egy .tpm kiterjesztésű fájlba. Keressen a fájlrendszerben egy .tpm végződésű fájlnevet. Ha már kinyomtatta a BitLocker helyreállítási jelszót, lehet, hogy ugyanakkor a TPM-tulajdonosi jelszó is ki lett nyomtatva. Ha nem találja a TPM-tulajdonosi jelszót, törölheti a TPM modul adatait, és ismét a tulajdonába veheti. Ezt a megoldást csak gondos megfontolás után válassza, mert a TPM modullal titkosított adatok elvesznek. Ha a BitLocker meghajtótitkosítást használja, a TPM modul adatainak törlése előtt feltétlenül függessze fel a BitLocker működését, vagy kapcsolja ki. A TPM modul törléséről további információt A TPM-en tárolt adatok törlése című témakörben talál.
Fontos titokban tartani a TPM tulajdonosazonosító kivonatértéket?
Igen. Ha egy rosszindulatú entitás szerezte meg a TPM tulajdonosazonosító hash-értéket, az entitás többször is próbálkozhat valamely titkosítási kulcs azonosítóértékének kitalálásával (például a BitLocker PIN kód kitalálásával), használhatja a TPM tulajdonosazonosító hash-értéket a TPM zárolás alaphelyzetbe állítására, és mindezt végtelen alkalommal ismételheti. Végül valószínű, hogy meg tudja találni az azonosítóértéket, ha a mérete kicsi volt.
A TPM tulajdonosi jelszó és a TPM tulajdonosazonosító hash-érék közötti összefüggés
A TPM-tulajdonosi jelszó hash értéke SHA-1 algoritmussal készül, majd base-64 kódolással jön létre a TPM tulajdonosazonosító hash-érték.