De TPM (Trusted Platform Module) wordt vergrendeld ter voorkoming van onrechtmatig gebruik of van aanvallen; dit wordt vergrendeling genoemd. TPM-vergrendeling kan langere of kortere tijd duren, of totdat de computer wordt uitgeschakeld. Als de vergrendelingsmodus voor de TPM is ingeschakeld, wordt meestal een fout geretourneerd als opdrachten worden ontvangen waarvoor een autorisatiewaarde is vereist. De eigenaar beschikt echter over ten minste een poging om de TPM-vergrendeling opnieuw in te stellen als de vergrendelingsmodus voor de TPM ingeschakeld is. Als de vergrendelingsmodus voor de TPM ingeschakeld is of door de TPM langzaam wordt gereageerd op opdrachten, raden wij u aan om de vergrendelingswaarde opnieuw in te stellen. Voor het opnieuw instellen van TPM-vergrendeling is autorisatie van de TPM-eigenaar vereist. De autorisatie van de TPM-eigenaar wordt ingesteld op het moment dat de beheerder eigenaarschap van de TPM overneemt. Het autorisatiewachtwoord van de eigenaar wordt opgedeeld, waarmee een autorisatiewaarde van de eigenaar wordt gemaakt, die door de TPM wordt opgeslagen. De beheerder wordt sterk aangeraden om de hashwaarde voor eigenaarsautorisatie op te slaan in een wachtwoordbestand voor de TPM-eigenaar met de extensie TPM, dat de hashwaarde voor eigenaarsautorisatie bevat in een XML-structuur. Het wachtwoordbestand voor de TPM-eigenaar bevat ter beveiliging niet het oorspronkelijke eigenaarswachtwoord. Het TPM-eigendom wordt meestal overgenomen als BitLocker-stationsversleuteling voor het eerst op de computer wordt ingeschakeld. In dat geval wordt het autorisatiewachtwoord van de TMP-eigenaar opgeslagen met de BitLocker-herstelsteutel. Als de BitLocker-herstelsleutel in een bestand wordt opgeslagen, wordt door BitLocker tevens een wachtwoordbestand voor de TPM-eigenaar opgeslagen (.tpm) met de hashwaarde van het TMP-eigenaarswachtwoord. Als de BitLocker-herstelsleutel wordt afgedrukt, wordt het TMP-eigenaarswachtwoord tegelijkertijd afgedrukt. U kunt de hashwaarde voor het TMP-eigenaarswachtwoord ook opslaan in AD DS (Active Directory Domain Services) als de groepsbeleidsinstellingen van uw organisatie hierop zijn ingesteld.

Informatie over TPM-beveiligingsmechanismen

In bepaalde gevallen worden beveiligingssleutels met een TPM beveiligd, doordat een geldige autorisatiewaarde wordt vereist voor toegang tot de sleutel. (Een algemeen voorbeeld is dat van BitLocker-stationsversleuteling, dat is geconfigureerd voor het gebruik van de TPM en een beveiligingssleutel in de vorm van een pincode, waarbij de gebruiker de juiste pincode moet invoeren tijdens het opstarten voor toegang tot de beveiligingssleutel van het volume dat is beveiligd met de TPM.) Om ontdekking van de autorisatiewaarden door kwaadaardige entiteiten tegen te gaan, wordt via TPM's een beveiligingslogica geïmplementeerd. Deze beveiligingslogica is zo ontworpen dat reacties van de TPM worden vertraagd of gestopt als wordt vastgesteld dat een entiteit de autorisatiewaarden probeert te achterhalen.

In de industriestandaarden van de TCG-organisatie (Trusted Computing Group) is gespecificeerd dat TPM-fabrikanten een bepaalde vorm van beveiligingslogica moeten implementeren in TPM 1.2-chips. Door verschillende TPM-fabrikanten worden verschillende beveiligingsmechanismen en -gedrag geïmplementeerd. De algemene richtlijnen schrijven voor dat door de TPM-chip aanzienlijk later moet worden gereageerd als naar de TPM onjuiste autorisatiewaarden worden gezonden. Op de bepaalde TPM-chips worden mislukte pogingen mogelijk alleen op korte termijn opgeslagen. Op ander TPM-chips daarentegen wordt elke mislukte poging voor onbepaalde tijd opgeslagen. Bepaalde gebruikers kunnen daarom te maken krijgen met steeds langere wachttijden als ze een typefout maken in een autorisatiewaarde die naar de TPM wordt verzonden, waarbij het feitelijk gebruik van de TPM voor een bepaalde tijd wordt voorkomen. Gebruikers kunnen het beveiligingsmechanisme van de TPM opnieuw instellen door de volgende procedure uit te voeren.

Opmerking

De beveiligingslogica in de TPM is ook van toepassing op de autorisatiewaarde van de TPM-eigenaar. Volgens de industriestandaarden beschikt de gebruiker over ten minste een poging om de TPM-vergrendeling opnieuw in te stellen met behulp van de autorisatiewaarde van de eigenaar als de TPM is vergrendeld. Als een foute waarde wordt gebruikt tijdens een poging om de TPM-vergrendeling opnieuw in te stellen, kan de TPM bij invoer van de juiste autorisatiewaarde van de eigenaar reageren alsof de correcte waarde niet juist is, of reageren met de melding dat de TPM is vergrendeld.

 

De TPM-vergrendeling opnieuw instellen
  1. Open de module TPM-beheer (tpm.msc).

  2. Klik op TPM-vergrendeling opnieuw instellen in het deelvenster Actie om de wizard TPM-vergrendeling opnieuw instellen te starten.

  3. Kies de methode voor het invoeren van het TPM-eigenaarswachtwoord:

    • Klik op Ik heb het bestand met het wachtwoord van de eigenaar en klik op Bladeren om naar de juiste bestandslocatie te gaan als u het TPM-eigenaarswachtwoord hebt opgeslagen in een TPM-bestand.

    • Klik op Ik wil het wachtwoord van de eigenaar typen en typ het wachtwoord in de betreffende ruimte als u het TPM-eigenaarswachtwoord handmatig wilt invoeren. Als u BitLocker en de TPM tegelijkertijd hebt ingeschakeld en ervoor hebt gekozen om het BitLocker-wachtwoord af te drukken bij het inschakelen van BitLocker, is het TPM-eigenaarswachtwoord mogelijk in hetzelfde document afgedrukt.

Als het TPM-eigenaarswachtwoord is geverifieerd, wordt via een dialoogvenster bevestigd dat de TPM-vergrendeling opnieuw is ingesteld.

Veelgestelde vragen

Wanneer moet ik de TPM-vergrendeling opnieuw instellen?

In de meeste gevallen zullen gebruikers bij het opstarten merken dat reactietijden traag zijn bij het gebruik van een beveiligingssleutel (de TPM en een pincode), ondanks dat de juiste pincode is ingevoerd. Het lijkt alsof het systeem enige tijd niet reageert, voordat aan de gebruiker wordt gemeld dat een onjuiste pincode is ingevoerd en dat de TPM is vergrendeld. Als de TPM vergrendeld is, kan het ook gebeuren dat de gebruiker de juiste pincode invoert, maar er enige tijd wordt gereageerd alsof een onjuiste pincode is ingevoerd. Vergelijkbaar gedrag kan zich voordoen voor andere toepassingen die van de TPM gebruikmaken met autorisatiewaarden, maar waarschijnlijk reageert alleen de toepassing die met de TPM communiceert niet langer als het besturingssysteem al is gestart. Omdat in een TPM mogelijk voor onbepaalde tijd alle onjuiste verificatiepogingen worden opgeslagen die zijn ontvangen, kan het aan te raden zijn om de TPM-vergrendeling altijd opnieuw in te stellen als gebruikers vaak typefouten maken in autorisatiewaarden als de BitLocker-pincode.

Welk gedrag kan ik verwachten als de TPM-beveiligingslogica is geactiveerd ter bescherming van autorisatiewaarden?

Het gedrag van het hardwareplatform hangt af van de implementatiekeuzen die door de platformfabrikant zijn gemaakt. In het algemeen kunt u verwachten dat hardwarefabrikanten TPM-hardware hebben ontworpen op het exponentieel vertragen van reacties van de TPM-chip. Het is ook mogelijk dat door de TPM-chip wordt gereageerd, maar op een wijze alsof de juiste autorisatiewaarde voor een bepaalde periode onjuist is. Neem contact op met de fabrikant van uw platform voor meer specifieke informatie over gedrag.

Als de TPM is vergrendeld tijdens het gebruik van BitLocker, krijgt u tijdens het opstarten de mogelijkheid om de BitLocker-herstelmodule te openen of om te wachten en de pincode opnieuw in te voeren.

Als Windows is gestart, wordt in TPM-beheer de status van TPM als momenteel vergrendeld aangeduid.

Alle opdrachten waarvoor autorisatiewaarden zijn vereist of die pogingen doen om het TPM-eigenaarswachtwoord te verzenden, resulteren in een fout van de TPM tijdens vergrendeling van de TPM.

Wat moet ik doen als ik het TPM-eigenaarswachtwoord niet meer weet?

Mogelijk is de hashwaarde voor autorisatie van de TPM-eigenaar opgeslagen in een bestand met de extensie .tpm, toen de beheerder oorspronkelijk eigendom overnam van de TPM op uw computer. Zoek in het bestandssysteem naar een bestand dat eindigt op .tpm. Als u het BitLocker-herstelwachtwoord hebt afgedrukt, is het TPM-eigenaarswachtwoord mogelijk tegelijkertijd afgedrukt. Als u het TPM-eigenaarswachtwoord niet kunt vinden, kunt u de TPM wissen en opnieuw eigendom overnemen. U moet hierbij voorzichtig te werk gaan, omdat gegevens die met de TPM zijn versleuteld, verloren kunnen gaan. Als u BitLocker gebruikt, moet u BitLocker onderbreken of uitschakelen voordat u de TPM wist. Zie De TPM wissen voor meer informatie over het wissen van de TPM.

Is het belangrijk om de hashwaarde voor autorisatie van de TPM-eigenaar geheim te houden?

Ja. Als een kwaadaardige entiteit de hashwaarde voor autorisatie van de TPM-eigenaar kan verkrijgen, kan de entiteit verschillende pogingen doen om de autorisatiewaarde voor de versleutelingssleutel te achterhalen (bijvoorbeeld de BitLocker-pincode), hiervoor de hashwaarde van de TPM-eigenaar gebruiken om de TPM-vergrendeling opnieuw in te stellen en de handelingen onbeperkt herhalen. De autorisatiewaarde zou uiteindelijk kunnen worden achterhaald als deze klein is.

Wat is de relatie tussen het TPM-eigenaarswachtwoord en de hashwaarde voor autorisatie van de TPM-eigenaar?

Het TPM-eigenaarswachtwoord wordt opgedeeld met behulp van SHA-1 en wordt met base-64 gecodeerd om de hashwaarde voor de autorisatie van de TPM-eigenaar te verkrijgen.