Moduł TPM (Trusted Platform Module) blokuje się samoczynnie, aby zapobiec manipulacjom lub atakom - taki stan jest nazywany blokadą. Blokada modułu TPM trwa często zmienną ilość czasu lub do chwili wyłączenia komputera. W czasie, gdy moduł TPM znajduje się w trybie blokady, zwykle zwraca błąd, jeśli otrzyma polecenie wymagające wartości autoryzacyjnej. Jedynym wyjątkiem jest umożliwienie przez moduł TPM zawsze co najmniej jednej próby zresetowania blokady modułu TPM przez właściciela, gdy moduł znajduje się w tym stanie. Jeśli moduł TPM przeszedł w tryb blokady lub wolno odpowiada na polecenia, zaleca się zresetowanie wartości blokady. Zresetowanie blokady modułu TPM wymaga autoryzacji właściciela modułu TPM. Autoryzacja właściciela modułu TPM jest ustawiana przy początkowym przejmowaniu własności nad modułem TPM przez administratora. Na podstawie hasła autoryzacji właściciela generowany jest skrót w celu utworzenia wartości autoryzacyjnej właściciela, która przechowywana jest przez moduł TPM. Administrator powinien zapisać wartość skrótu autoryzacji właściciela w pliku hasła właściciela modułu TPM o rozszerzeniu .tpm, który zawiera wartość skrótu autoryzacji właściciela w strukturze XML. Ze względów bezpieczeństwa plik hasła właściciela modułu TPM nie zawiera oryginalnego hasła właściciela. Przejęcie własności do modułu TPM następuje zwykle przy pierwszym włączeniu dla komputera szyfrowania dysków funkcją BitLocker. W takim scenariuszu hasło autoryzacji właściciela modułu TPM jest zapisywane wraz z kluczem odzyskiwania funkcji BitLocker. Przy zapisywaniu klucza odzyskiwania funkcji BitLocker do pliku funkcja BitLocker zapisuje również plik hasła właściciela modułu TPM (.tpm) z wartością skrótu hasła właściciela modułu TPM. Wydrukowanie klucza odzyskiwania funkcji BitLocker powoduje wydrukowanie w tym samym czasie hasła właściciela modułu TPM. Wartość skrótu hasła właściciela modułu TPM można zapisać również w usługach domenowych w usłudze Active Directory (AD DS), jeśli zostały w tym celu skonfigurowane ustawienia zasad grupy w organizacji.

Omówienie mechanizmów ochrony modułu TPM

W niektórych scenariuszach klucze szyfrowania są chronione przez moduł TPM poprzez wymóg podania prawidłowej wartości autoryzacyjnej w celu uzyskania dostępu do klucza (typowym przykładem jest szyfrowanie dysków funkcją BitLocker skonfigurowane do korzystania z modułu TPM oraz funkcji ochrony klucza PIN, w którym użytkownik musi wpisać poprawny numer PIN w trakcie procesu rozruchu w celu uzyskania dostępu do klucza szyfrowania woluminów chronionych przez moduł TPM). Aby uniemożliwić złośliwym podmiotom uzyskanie wartości autoryzacyjnych, moduły TPM implementują mechanizmy ochrony. Mechanizm ochrony jest zaprojektowany do spowalniania lub wstrzymywania odpowiedzi z modułu TPM, jeśli wykryje, że podmiot może podejmować próby odgadnięcia wartości autoryzacyjnych.

Standardy branżowe opracowane przez organizację TCG (Trusted Computing Group) określają, że producenci modułów TPM muszą implementować pewną formę mechanizmów ochrony w mikroukładach modułów TPM 1.2. Różni producenci modułów TPM implementują różne mechanizmy ochrony o różnym działaniu. Ogólną wytyczną dla mikroukładów modułów TPM jest wykładniczy wzrost czasu odpowiedzi w przypadku wysyłania do modułu TPM niepoprawnych wartości autoryzacyjnych. Niektóre mikroukłady modułów TPM mogą po pewnym czasie nie przechowywać informacji o nieudanych próbach. Inne mikroukłady modułów TPM mogą przechowywać informacje o każdej nieudanej próbie przez nieograniczony czas. Z tego względu niektórzy użytkownicy mogą być zmuszeni do coraz dłuższego oczekiwania po błędnym podaniu wysyłanej do modułu TPM wartości autoryzacyjnej, co może przez pewien czas uniemożliwić korzystanie z modułu TPM. Użytkownik może zresetować mechanizmy ochrony modułu TPM, wykonując poniższą procedurę.

Uwaga

Mechanizm ochrony modułu TPM ma również zastosowanie do wartości autoryzacyjnej właściciela modułu TPM. Standardy branżowe określają, że użytkownik może wykonać co najmniej jedną próbę zresetowania blokady modułu TPM przy użyciu wartości autoryzacyjnej właściciela, nawet jeśli moduł TPM jest zablokowany. Jeśli podczas próby zresetowania blokady modułu TPM podana zostanie błędna wartość, przy kolejnych próbach wprowadzenia wartości autoryzacyjnej właściciela moduł TPM może odpowiadać na poprawną wartość, tak jakby była ona niepoprawna, lub odpowiadać informacją o blokadzie modułu TPM.

 

Aby zresetować blokadę modułu TPM
  1. Otwórz przystawkę Zarządzanie modułem TPM (tpm.msc).

  2. W okienku Akcja kliknij pozycję Zresetuj blokadę modułu TPM w celu uruchomienia kreatora resetowania blokady modułu TPM.

  3. Wybierz metodę wprowadzania hasła właściciela modułu TPM:

    • Jeśli hasło właściciela modułu TPM zostało zapisane w pliku .tpm, kliknij opcję Mam plik hasła właściciela, a następnie wpisz ścieżkę do tego pliku lub kliknij przycisk Przeglądaj, aby przejść do lokalizacji pliku.

    • Aby ręcznie wprowadzić hasło właściciela modułu TPM, kliknij opcję Chcę wprowadzić hasło właściciela, a następnie wpisz hasło w podanym miejscu. Jeśli w tym samym czasie włączono funkcję BitLocker oraz moduł TPM i wybrano opcję wydrukowania hasła odzyskiwania funkcji BitLocker po jej włączeniu, hasło właściciela modułu TPM mogło również zostać wydrukowane na tej samej kartce papieru.

Po uwierzytelnieniu hasła właściciela modułu TPM wyświetlane jest okno dialogowe potwierdzające zresetowanie blokady modułu TPM.

Często zadawane pytania (FAQ)

Kiedy należy zresetować blokadę modułu TPM?

Najbardziej prawdopodobnym scenariuszem jest odczuwalne spowolnienie czasu udzielania odpowiedzi podczas procesu rozruchu przy korzystaniu z funkcji ochrony kluczy (składającej się z modułu TPM i numeru PIN) i wprowadzeniu nieprawidłowego numeru PIN. System może przez pewien czas sprawiać wrażenie zawieszonego, zanim użytkownik zostanie poinformowany o wprowadzeniu nieprawidłowego numeru PIN oraz zablokowaniu modułu TPM. Po zablokowaniu modułu TPM możliwa jest również sytuacja, w której użytkownik wprowadzi poprawny numer PIN, ale odpowiedzi modułu TPM przez pewien czas będą identyczne, jak w przypadku wprowadzenia nieprawidłowego numeru PIN. Podobne działanie może wystąpić w przypadku innych aplikacji korzystających z modułu TPM z użyciem wartości autoryzacyjnych, ale gdy system operacyjny został już uruchomiony, bardziej prawdopodobne jest, że nie odpowiadać będzie jedynie aplikacja komunikująca się z modułem TPM. Ponieważ moduł TPM może przechowywać informacje o wszystkich wysłanych do niego niepoprawnych próbach autoryzacji przez nieograniczony czas, użytkownicy mogą być zmuszeni do resetowania blokady modułu TPM, jeśli często zdarza im się błędnie wpisywać wartości autoryzacyjne, takie jak numer PIN funkcji BitLocker.

Jakiego zachowania należy oczekiwać, jeśli aktywny jest mechanizm ochrony modułu TPM mający na celu ochronę wartości autoryzacyjnych?

Działanie platformy sprzętowej będzie różne w zależności od implementacji dokonanej przez jej producenta. Działaniem oczekiwanym od producentów sprzętu jest wykładniczy wzrost czasu udzielania odpowiedzi przez mikroukład modułu TPM. Możliwe jest również, że mikroukład modułu TPM będzie nadal normalnie odpowiadać, ale przez pewien czas będzie to robić w taki sposób, jak gdyby poprawna wartość autoryzacyjna była niepoprawna. Aby uzyskać bardziej szczegółowe informacje na temat działania używanej platformy, skontaktuj się z jej producentem.

Jeśli moduł TPM jest aktualnie zablokowany podczas korzystania z funkcji BitLocker, podczas procesu rozruchu będzie możliwość otwarcia konsoli odtwarzania funkcji BitLocker lub odczekania na możliwość ponownego wprowadzenia numeru PIN.

Po uruchomieniu systemu Windows przystawka Zarządzanie modułem TPM wyświetli stan modułu TPM jako aktualnie zablokowany.

Wszelkie polecenia z użyciem wartości autoryzacyjnych lub próby wysłania hasła właściciela modułu TPM do modułu TPM, podczas gdy jest on zablokowany, będą skutkować zwracaniem błędu przez moduł TPM.

Co zrobić, jeśli nie pamiętam swojego hasła właściciela modułu TPM?

Istnieje możliwość, że wartość skrótu autoryzacji właściciela modułu TPM została zapisana w pliku z rozszerzeniem .tpm podczas wstępnego przejmowania własności do modułu TPM na komputerze przez administratora. Wyszukaj w systemie plików plik z rozszerzeniem .tpm. Jeśli wydrukowane zostało hasło odtwarzania funkcji BitLocker, jednocześnie mogło zostać wydrukowane również hasło właściciela modułu TPM. Jeśli nie można znaleźć swojego hasła właściciela modułu TPM, można wyczyścić moduł TPM i ponownie przejąć nad nim własność. Należy to zrobić ostrożnie, ponieważ dane zaszyfrowane z użyciem modułu TPM zostaną utracone. Jeśli używana jest funkcja BitLocker, należy pamiętać o zawieszeniu lub wyłączeniu funkcji BitLocker przed wyczyszczeniem modułu TPM. Aby uzyskać więcej informacji na temat czyszczenia modułu TPM, zobacz temat Czyszczenie modułu TPM.

Czy jest ważne, aby wartość skrótu autoryzacji właściciela modułu TPM przechowywać w tajemnicy?

Tak. Jeśli złośliwy podmiot uzyska wartość skrótu autoryzacji właściciela modułu TPM, będzie on mógł podjąć kilka prób odgadnięcia wartości autoryzacyjnej klucza szyfrowania (na przykład numeru PIN funkcji BitLocker), następnie użyć wartości skrótu autoryzacji właściciela modułu TPM do zresetowania blokady modułu, a następnie powtarzać ten proces w nieskończoność. Wartość autoryzacyjna może też zostać odkryta w przypadku jej niewielkich rozmiarów.

Jak powiązane jest hasło właściciela modułu TPM z wartością skrótu autoryzacji właściciela modułu TPM?

Wartość skrótu autoryzacji właściciela modułu TPM jest tworzona przez utworzenie skrótu hasła właściciela modułu TPM algorytmem SHA-1 i zakodowaniu jej algorytmem base-64.