O TPM (Trusted Platform Module) se travará automaticamente para evitar violação ou ataques, isso é chamado de bloqueio. O bloqueio do TPM geralmente dura um período variável de tempo ou até que o computador seja desligado. Enquanto o TPM estiver em modo travado, ele geralmente enviará um erro quando receber comandos que necessitem de um valor de autorização. Uma exceção é que o TPM sempre permite pelo menos uma tentativa de reinicialização do bloqueio do TPM pelo proprietário, quando estiver no modo de bloqueio. Se o seu TPM tiver entrado em modo de bloqueio ou estiver respondendo lentamente a comandos, recomendamos reiniciar o valor de bloqueio. A redefinição do bloqueio do TPM requer autorização do seu proprietário. A autorização do proprietário do TPM é definida quando o administrador inicialmente recebe a propriedade do TPM. A senha de autorização de proprietário é especificada como hash para criar um valor de autorização de proprietário, que é armazenado pelo TPM. O administrador é encorajado a salvar o valor de hash da autorização de proprietário em um arquivo de senhas de proprietário do TPM com uma extensão .tpm, que contém o valor de hash de autorização do proprietário dentro de uma estrutura XML. Para segurança, o arquivo de senhas de proprietário do TPM não contém a senha original do proprietário. A propriedade do TPM geralmente é concedida na primeira vez que a Criptografia de Unidade de Disco BitLocker é ativada no computador. Neste cenário, a senha de autorização do proprietário do TPM é salva junto com a chave de recuperação do BitLocker. Quando a chave de recuperação do BitLocker é salva a um arquivo, o BitLocker também salva o arquivo da senha de proprietário do TPM (.tpm) com o valor de hash da senha de proprietário do TPM. Quando a chave de recuperação do BitLocker é impressa, a senha de proprietário do TPM é impressa ao mesmo tempo. Você também pode salvar o valor hash da sua senha de proprietário do TPM para os Serviços de Domínio Active Directory (AD CS) se estiver definido nas configurações das Diretivas de Grupo da sua empesa que isso deve ser feito.

Noções básicas dos mecanismos de proteção do TPM

Em alguns cenários, as chaves de criptografia são protegidas por um TPM que exige um valor de autorização válido para ter acesso à chave. (Um exemplo comum é a Criptografia de Unidade de Disco BitLocker configurada para usar o protetor de chave TPM + PIN, onde o usuário deve digitar o PIN correto durante o processo de inicialização para acessar a chave de criptografia de volume protegida pelo TPM.) Para evitar que entidades mal-intencionadas descubram os valores de autorização, os TPMs implementam uma lógica de proteção. A lógica de proteção é desenvolvida para desacelerar ou interromper as respostas do TPM se for detectado que uma entidade pode estar tentando adivinhar valores de autorização.

Os padrões da indústria da organização TCG (Trusted Computing Group) especificam que os fabricantes do TPM devem implementar alguma forma de lógica de proteção nos chips 1.2 do TPM. Diferentes fabricantes do TPM implementam mecanismos e comportamentos de proteção diferentes. A orientação geral é para que o chip do TPM demore mais tempo para responder aos valores incorretos de autorização que forem enviados ao TPM. Alguns chips TPM podem não armazenar falhas de tentativa ao longo do tempo. Outros chips TPM podem armazenar cada falha de tentativa por tempo indeterminado. Por isso, alguns usuários podem passar por longos momentos de espera quando um valor de autorização errado for enviado para o TPM, essencialmente evitando que utilizem o TPM por um determinado período de tempo. Os usuários podem redefinir os mecanismos de proteção no TPM executando o seguinte procedimento:

Observação

A lógica de proteção no TPM também se aplica ao valor de autorização do proprietário do TPM. Os padrões da indústria especificam que o usuário pode fazer pelo menos uma tentativa de reinicialização de bloqueio do TPM utilizando o valor de autorização de proprietário, mesmo quando o TPM estiver bloqueado. Se um valor errado for usado durante a tentativa de redefinir o bloqueio do TPM, em tentativas subsequentes de digitar o valor de autorização do proprietário, o TPM pode responder como se o valor correto estivesse incorreto ou responder que o TPM está bloqueado.

 

Para redefinir o bloqueio do TPM
  1. Abra o snap-in de Gerenciamento do TPM (tpm.msc)

  2. No painel Ação, clique em Redefinir Bloqueio do TPM para iniciar o assistente Redefinir Bloqueio do TPM.

  3. Escolha o método para digitar a senha de proprietário do TPM:

    • Se você salvou sua senha de proprietário do TPM em um arquivo .tpm, clique em Tenho o arquivo de senha de proprietário e digite o caminho para o arquivo ou clique em Procurar para navegar até localização do arquivo.

    • Se você quiser digitar manualmente sua senha de proprietário do TPM, clique em Desejo digitar a senha de proprietário e digite a senha no espaço fornecido. Se você ativou o BitLocker e seu TPM ao mesmo tempo e escolher imprimir sua senha de recuperação quando ligar o BitLocker, sua senha de proprietário do TPM também deve ser impressa no mesmo papel.

Uma vez que a senha de proprietário do TPM for autenticada, uma caixa de diálogo confirmando que o bloqueio do TPM foi redefinido será exibida.

Perguntas Frequentes (FAQ)

Quando devo redefinir o bloqueio do TPM?

O cenário mais provável é que durante o processo de inicialização os usuários notarão tempos mais longos de respostas quando usarem o protetor de chaves, que consiste no TPM e PIN, e digitar o PIN incorreto. O sistema pode parecer congelado por um determinado período de tempo antes de informar ao usuário que o PIN incorreto foi inserido e que o TPM está bloqueado. Quando o TPM for bloqueado, também é possível que o usuário insira o PIN correto, mas o TPM responderá como se o PIN incorreto foi inserido por um período determinado de tempo. Comportamento semelhante pode ocorrer para outros aplicativos que usam o TPM com valores de autorização, mas é mais provável que apenas o aplicativo que está se comunicando com o TPM não responda se o sistema operacional já tiver sido iniciado. Pelo fato de o TPM armazenar indefinidamente todas as tentativas de autorização incorretas enviadas a ele, os usuários podem querer proativamente reiniciar o bloqueio do TPM se digitarem, com frequência, valores de autorização errados, como o PIN do BitLocker.

Que comportamento devo esperar se a lógica de proteção do TPM estiver ativada para proteger valores de autorização?

O comportamento da plataforma de hardware variará de acordo com as escolhas de implementação feitas pelo fabricante da plataforma. Geralmente espera-se que os fabricantes de hardware exponencialmente atrasem as respostas do chip TPM. Também é possível que o chip TPM seja responsivo, mas responde como se o valor correto de autorização estivesse incorreto por um determinado período de tempo. Para obter informações mais específicas sobre comportamento, contate o fabricante da plataforma.

Se o TPM estiver bloqueado quando usar o BitLocker, você terá uma oportunidade, durante o processo de inicialização, de abrir o console de recuperação do BitLocker ou de esperar para digitar novamente o PIN.

Quando o Windows tiver inicializado, o Gerenciamento do TPM mostrará o status do TPM como bloqueado.

Quaisquer comandos que involvam valores de autorização, ou tentativas de enviar a senha de proprietário ao TPM, resultarão em erro do TPM enquanto ele estiver bloqueado.

O que devo fazer se não me lembrar da senha de proprietário do TPM?

É possível que os valores de hash da autorização de proprietário do TPM tenham sido salvos em um arquivo com a extensão .tpm quando o administrador originalmente se tornou proprietário do TPM no computador. Faça uma busca de um arquivo com a extensão .tpm no seu sistema de arquivos. Se você imprimiu sua senha de recuperação do BitLocker, sua senha de proprietário do TPM também foi impressa. Se não encontrar sua senha de proprietário do TPM, você pode limpar o TPM e tornar-se proprietário novamente. Isso deve ser feito com cuidado porque os dados criptografados com o TPM serão perdidos. Se você estiver usando o BitLocker, cerifique-se de suspendê-lo ou de desligá-lo antes de limpar o TPM. Para obter mais informações sobre como limpar seu TPM, consulte Limpar o TPM.

É importante manter o valor de hash da minha autorização de proprietário do TPM secreto?

Sim. Se uma entidade maliciosa obteve o valor hash da sua autorização de proprietário do TPM, poderá fazer várias tentativas de adivinhar um valor de autorização de chave criptografado (por exemplo, o PIN do BitLocker), usar o valor hash de autorização de proprietário do TPM para reinicializar o bloqueio do TPM e repetir indefinidamente. É muito provável que o valor de autorização possa ser descoberto se ele for pequeno.

Como a senha de proprietário do TPM está relacionada ao valor hash de autorização de proprietário do TPM?

A senha de proprietário do TPM é especificada como hash usando o SHA-1 e é codificada na base-64 para criar o valor de hash de autorização de proprietário do TPM.