Gestione TPM è uno snap-in MMC (Microsoft Management Console) che consente agli amministratori di interagire con i servizi TPM (Trusted Platform Module). I servizi TPM vengono utilizzati per amministrare l'hardware di sicurezza del computer. L'architettura dei servizi TPM offre l'infrastruttura necessaria per la sicurezza basata su hardware, garantendo l'accesso e la condivisione a livello di applicazione di TPM.
Che cos'è un TPM (Trusted Platform Module)?
Un TPM è un microchip progettato per fornire funzioni di base relative alla sicurezza che prevedono principalmente l'utilizzo di chiavi di crittografia. Il TPM viene in genere installato sulla scheda madre di un computer e comunica con il resto del sistema attraverso un bus hardware.
Nei computer in cui è incorporato un TPM è possibile creare chiavi di crittografia e crittografarle in modo che possano essere decrittografate solo dal TPM. Questo processo, spesso chiamato di wrapping della chiave, contribuisce a proteggere la chiave da un'eventuale diffusione. All'interno di ogni TPM viene archiviata una chiave master di "wrapping", detta chiave radice di archiviazione. La parte privata della chiave creata in un TPM non viene mai esposta ad altri componenti, software, processi o utenti.
Nei computer in cui è incorporato un TPM è inoltre possibile creare una chiave sulla quale non viene solo eseguito il processo di wrapping, ma che viene anche associata a misure di piattaforma specifiche. Su questo tipo di chiave può essere eseguito il processo di wrapping soltanto quando le misure di piattaforma hanno gli stessi valori che avevano al momento della creazione della chiave. Questo processo è noto come esecuzione del sealing della chiave nel TPM. La decrittografia è denominata "rimozione del sealing". Il TPM può inoltre eseguire il sealing e l'unsealing dei dati generati al di fuori del TPM. Con questa chiave sealed e il software, ad esempio Crittografia unità BitLocker, è possibile bloccare i dati fino a quando non vengono soddisfatte le condizioni hardware o software specifiche.
Quando si utilizza un TPM, le parti private di coppie di chiavi vengono mantenute separate dalla memoria controllata dal sistema operativo. Le chiavi possono essere sealed nel TPM ed è possibile dare determinate garanzie sullo stato di un sistema, garanzie che definiscono l'"affidabilità" di un sistema, prima che il sealing della chiave sealed venga rimosso e rilasciato per l'utilizzo. Poiché il TPM utilizza firmware e circuiti logici interni propri per l'elaborazione delle istruzioni, esso non si basa sul sistema operativo e non è esposto alle eventuali vulnerabilità del sistema operativo o dell'applicazione.
Componenti dei servizi TPM
Nella tabella seguente sono elencati i singoli componenti che costituiscono l'insieme di funzionalità dei servizi TPM:
Componente TPM | Funzioni |
---|---|
Driver TPM |
Il driver del TPM è un driver di periferica in modalità kernel progettato per l'hardware di sicurezza TPM conforme alle specifiche TCG 1.2 (Trusted Computing Group). La conformità alla specifica TCG 1.2 garantisce maggiore stabilità di piattaforma ed elimina la necessità di driver di periferica specifici del fornitore. |
Servizi di base TPM |
TBS è un servizio che consente la condivisione delle risorse limitate nel TPM. Questo servizio funge da controller delle risorse per tutte le applicazioni che utilizzano il TPM. |
Provider Strumentazione gestione Windows (WMI) del TPM |
Il provider WMI del TPM espone attività comuni di configurazione del TPM agli amministratori a livello di programmazione. Gli amministratori possono scrivere uno script che utilizza questo provider. |
Snap-in Gestione TPM |
Lo snap-in Gestione TPM presenta agli amministratori le attività di configurazione del TPM più comuni tramite un'interfaccia utente. Gli amministratori possono utilizzare questo snap-in per accedere all'Inizializzazione guidata TPM. |
Inizializzazione guidata TPM |
L'Inizializzazione guidata TPM consente di attivare e configurare il TPM per l'utilizzo con applicazioni o servizi che fanno uso del TPM, ad esempio Crittografia unità BitLocker. |
Per ulteriori informazioni, esaminare altri argomenti del file della Guida e le risorse elencate in Risorse su Gestione TPM.