O Gerenciamento do TPM é um snap-in do MMC (Console de Gerenciamento Microsoft com o qual os administradores podem interagir com os Serviços TPM (Trusted Platform Module). Os Serviços TPM são utilizados para administrar o hardware de segurança do TPM no seu computador. A arquitetura dos Serviços TPM proporciona a infraestrutura necessária para segurança com base em hardware, fornecendo acesso ao TPM e garantindo seu compartilhamento em nível de aplicativo.
O que é um Trusted Platform Module?
Um TPM é um microchip desenvolvido para fornecer informações básicas relacionadas à segurança, principalmente envolvendo chaves de criptografia. Geralmente, o TPM é instalado na placa-mãe do computador e se comunica com o restante do sistema usando um barramento de hardware.
Computadores que incorporam um TPM podem criar chaves criptográficas e criptografá-las para que possam ser descriptografadas somente pelo TPM. Esse processo, também chamado de "quebrar" ou "vincular" uma chave, pode ajudar a proteger a chave de divulgação. Cada TPM tem uma chave-mestra de "quebra" chamada de chave raiz de armazenamento, que é armazenada no próprio TPM. A parte privada de uma chave criada em um TPM nunca é exposta a nenhum outro componente, software, processo ou pessoa.
Computadores que incorporam um TPM também podem criar uma chave que não tenha sido somente quebrada, mas também vinculada a determinadas medidas da plataforma. A quebra desse tipo de chave só pode ser desfeita quando essas medidas tiverem os mesmos valores que tinham quando a chave foi criada. Esse processo é chamado de "lacração" da chave ao TPM. A descriptografia da chave também é chamada de "deslacrar". O TPM também pode lacrar e deslacrar os dados gerados fora do TPM. Com essa chave lacrada e o software como a Criptografia de Unidade de Disco BitLocker, é possível bloquear dados até que as condições específicas de hardware e de software sejam atendidas.
Com um TPM, as partes privadas dos pares de chaves são mantidas separadas da memória controlada pelo sistema operacional. Chaves podem ser lacradas para o TPM, e determinadas garantias sobre o estado de um sistema - garantias que definem a "veracidade" de um sistema - podem ser feitas antes que as chaves sejam deslacradas e liberadas para uso. Como o TPM usa seu próprio firmware interno e circuitos lógicos para instruções de processamento, ele não depende do sistema operacional e está exposto a vulnerabilidades que podem existir no sistema operacional ou no software aplicativo.
Componentes dos Serviços do Trusted Platform Module
A tabela a seguir detalha os componentes individuais que constituem o conjunto de recursos dos Serviços do TPM.
Componente TPM | Finalidade |
---|---|
Driver TPM |
O driver TPM é um driver de dispositivo de modo kernel desenvolvido para o hardware de segurança TPM que obedece às especificações do Trusted Computing Group (TCG) 1.2. Estar de acordo com o TCG 1.2 dá mais estabilidade de plataforma e elimina a necessidade de drivers de dispositivo específicos ao fornecedor. |
Serviços básicos do TPM (TBS) |
TBS é um serviço que fornece compartilhamento dos recursos limitados no TPM. Ele age como o controlador de recursos para todos os aplicativos que usam o TPM. |
Provedor de instrumentação de gerenciamento do Windows (WMI) do TPM |
O provedor de WMI do TPM expõe as tarefas de configuração comuns do TPM aos administradores de forma programática. Os administradores podem gravar um script que use esse provedor. |
Snap-in Gerenciamento do TPM |
O snap-in Gerenciamento do TPM expõe tarefas de configuração comuns do TPM a administradores por meio de uma interface de usuário. Os administradores podem usar esse snap-in para acessar o Assistente de Inicialização do TPM. |
Assistente de Inicialização TPM |
O objetivo do Assistente de Inicialização TPM é ativar e configurar o TPM para funcionar com aplicativos ou serviços que usam o TPM, como a Criptografia de Unidade de Disco BitLocker. |
Para obter mais informações, revise outros tópicos do arquivo de ajuda e os recursos listados em Recursos para gerenciamento do TPM.