TPM (Trusted Platform Module) vil låse seg selv for å forhindre tukling eller angrep. Dette kalles for låsing. TPM-låsing varierer ofte hvor lenge den varer eller til datamaskinen slås av. Mens TPM er i låsemodus returnerer den generelt en feil når den mottar kommandoer som krever en autorisasjonsverdi. Et unntak er at TPM alltid gir eieren minst ett forsøk på å tilbakestille TPM-låsingen mens låsen er aktiv. Hvis TPM har gått i låsemodus eller reagerer sakte på kommandoer, anbefaler vi å tilbakestille låseverdien. Tilbakestilling av TPM-låsen krever TPM-eierautorisasjon. TPM-eierautorisasjon konfigureres når administratoren blir eier av TPM første gang. Passordet for eierautorisasjon hashes for å opprette en eierautorisasjonsverdi, som lagres av TPM. Administratoren oppfordres til å lagre hashverdien for eierautorisasjonen til en TPM-eierpassordfil med filtypen .TPM. Den vil inneholde hashverdien for eierautorisasjonen i en XML-struktur. Av sikkerhetsgrunner vil ikke TPM-eierpassordfilen inneholde det originale eierpassordet. TPM-eierskap blir normalt utført første gang BitLocker-stasjonskryptering blir slått på for datamaskinen. I dette scenarioet lagres TPM-eierautorisasjonspassordet sammen med BitLocker-gjenopprettingsnøkkelen. Når BitLocker-gjenopprettingsnøkkelen lagres til en fil, vil BitLocker også lagre en TPM-eierpassordfil (.TPM) med hashverdien til eierpassordet. Når BitLocker-gjenopprettingsnøkkelen skrives ut, vil også TPM-eierpassordet skrives ut samtidig. Du kan også lagre hashverdien for TPM-eierpassordet til Active Directory-domenetjenester (AD DS) hvis bedriftens gruppepolicyinnstillinger er konfigurert for å gjøre det.
Forstå TPM-beskyttelsesmekanismer
I noen scenarioer beskyttes krypteringsnøkler av en TPM ved å kreve en gyldig autorisasjonsverdi for å få tilgang til nøkkelen. (Et vanlig eksempel er BitLocker-stasjonskryptering konfigurert til å bruke TPM + PIN-nøkkelbeskytter, der brukeren må taste inn riktig PIN ved oppstartsprosessen for å få tilgang til stasjonskrypteringsnøkkelen som er beskyttet av TPM.) For å forhindre at ondsinnede enheter fra å oppdage autorisasjonsverdier, implementerer TPM beskyttelseslogikk. Beskyttelseslogikken er konstruert for å stoppe eller redusere hastigheten på responser fra TPMen hvis den oppdager at en enhet forsøker å gjette autorisasjonsverdier.
Industristandarder fra Trusted Computing Group (TCG) spesifiserer at TPM-produsenter må implementere en eller annen form for beskyttelseslogikk i TPM 1.2-brikker. Forskjellige TPM-produsenter implementerer forskjellige beskyttelsesmekanismer og -oppførsel. Generelt gjelder det at TPM-brikken skal bruke lengre og lengre tid til å svare hvis feil autorisasjonsverdier blir sendt til TPMen. Noen TPM-brikker lagrer ikke mislykkede forsøk over tid. Andre TPM-brikker kan lagre hvert mislykkede forsøk i ubegrenset tid. Derfor kan noen brukere oppleve lengre forsinkelser hvis de taster inn feil en autorisasjonsverdi som sendes til TPMen, og dermed forhindre dem fra å bruke TPMen for en stund. Brukere kan tilbakestille beskyttelsesmekanismer i TPMen ved å fullføre følgende fremgangsmåte.
Obs! | |
Beskyttelseslogikken i TPMen gjelder også for TPM-eierautorisasjonsverdien. Industristandardene spesifiserer at brukeren er tillatt minst ett forsøk på å tilbakestille TPM-låsen ved å bruke eierautorisasjonsverdien, selv når TPMen er låst. Hvis feil verdi brukes ved forsøk på å nullstille TPM-låsen, kan TPMen oppføre seg som om den riktige verdien er feil eller svare med at TPMen er låst, ved videre forsøk på å oppgi eierautorisasjonsverdien. |
Slik tilbakestiller du TPM-låsen |
-
Åpne snapin-modulen TPM-behandling (tpm.msc).
-
Klikk Tilbakestill TPM-lås på Handling-ruten for å starte veiviseren for tilbakestilling av TPM-lås.
Velg metoden for å oppgi TPM-eierpassordet:
- Hvis du lagret TPM-eierpassordet i en .TPM-fil, klikk Jeg har eierpassordfilen og tast deretter inn banen til filen eller klikk Bla gjennom for å navigere til filplasseringen.
- Hvis du vil taste inn TPM-eierpassordet manuelt, klikk Jeg vil oppgi eierpassordet og tast deretter inn passordet i plassen som blir tilgjengelig. Hvis du aktiverte BitLocker og TPM samtidig og valgte å skrive ut BitLocker-gjenopprettingspassordet når du slo på BitLocker, kan TPM-eierpassordet også ha blitt skrevet ut på samme ark.
- Hvis du lagret TPM-eierpassordet i en .TPM-fil, klikk Jeg har eierpassordfilen og tast deretter inn banen til filen eller klikk Bla gjennom for å navigere til filplasseringen.
Når TPM-eierpassordet er godkjent, vises en dialogboks som bekrefter at TPM-låsen ble tilbakestilt.
Vanlige spørsmål (FAQ)
Når bør jeg tilbakestille TPM-låsen?
Det mest vanlige scenarioet er at ved oppstartsprosessen vil brukere oppleve trege responstider når de bruker en nøkkelbeskyttelse (som består av TPM og en PIN) og taster inn feil PIN. Systemet kan virke som det stopper en stund, før det informerer brukeren om at feil PIN ble tastet inn og at TPM er låst. Når TPMen er låst, er det også mulig at brukeren taster inn riktig PIN, men TPMen vil reagere som om feil PIN ble tastet inn i en stund. Lignende reaksjon kan oppstå for andre programmer som bruker TPMen med autorisasjonsverdier, men det er mer sannsynlig at programmet som kommuniserer med TPMen ikke reagerer hvis operativsystemet allerede har startet. Fordi en TPM kan lagre alle mislykkede forsøk i ubegrenset tid, bør brukere proaktivt tilbakestille TPM-låsen hvis de ofte taster inn autorisasjonsverdier som BitLocker-PIN-koden feil.
Hva slags reaksjon bør jeg forvente hvis TPM-beskyttelseslogikken er aktivert for å beskytte autorisasjonsverdier?
Reaksjonen til maskinvareplattformen vil variere avhengig av hvilke valg plattformprodusenten gjorde for implementeringen. Generelt forventes det at maskinvareprodusenter vil eksponentielt forsinke responstiden fra TPM-brikken. Det er også mulig at TPM-brikken reagerer, men at den oppfører seg som om den riktige autorisasjonsverdien er feil en stund. Hvis du vil ha mer detaljert informasjon om reaksjoner, ta kontakt med plattformprodusenten.
Hvis TPMen er låst mens du bruker BitLocker, vil det være en mulighet i løpet av oppstarten for å enten åpne BitLocker-gjenopprettingskonsollen eller vente for å taste inn PIN-koden på nytt.
Når Windows først har startet, vil TPM-behandling vise statusen for TPMen som låst.
Kommandoer som innebærer autorisasjonsverdier eller forsøk på sende TPM-eierpassordet til TPMen, vil føre til en feilmelding fra TPMen så lengde den er låst.
Hva skal jeg gjøre hvis jeg ikke husker TPM-eierpassordet?
Det er mulig at hashverdien for TPM-eierautorisasjonen ble lagret til en .TPM-fil da administratoren først tok eierskap av TPMen på datamaskinen. Søk i filsystemet etter en fil som slutter på .TPM. Hvis du skrev ut BitLocker-gjenopprettingspassordet, kan TPM-eierpassordet ha blitt skrevet ut samtidig. Hvis du ikke kan finne TPM-eierpassordet, kan du tømme TPMen og ta eierskap på nytt. Du må være forsiktig gjør dette, fordi data som er kryptert med TPMen vil bli borte. Hvis du bruker BitLocker, pass på at du stanser eller slår av BitLocker før du tømmer TPMen. Hvis du vil ha mer informasjon om tømming av TPM, kan se Fjerne TPM.
Er det viktig å holde hashverdien for TPM-eierautorisasjonen hemmelig?
Ja. Hvis en ondsinnet enhet fikk tak i hashverdien for TPM-eierautorisasjonen, kan enheten benytte flere forsøk på å gjette en autorisasjonsverdi for krypteringsnøkkelen (for eksempel BitLocker-PIN-verdien), bruke hashverdien til å tilbakestille TPM-låsen og gjenta dette i det uendelige. Det er sannsynlig at før eller senere blir autorisasjonsverdien oppdaget, hvis størrelsen på den er liten.
Hvordan henger TPM-eierpassordet sammen med hashverdien for TPM-eierautorisasjonen?
TPM-eierpassordet hashes ved hjelp av SHA-1 og er kodet med base-64 for å opprette hashverdien for TPM-eierautorisasjonen.