Консоль управления TPM представляет собой оснастку консоли управления (MMC), позволяющую администраторам взаимодействовать со службами доверенного платформенного модуля (TPM). Службы TPM используются с целью администрирования оборудования безопасности для доверенного платформенного модуля на компьютере. Архитектура служб TPM обеспечивает инфраструктуру аппаратно реализованной безопасности, предоставляя доступ и обеспечивая общий доступ к TPM на уровне приложений.

Что такое доверенный платформенный модуль?

Доверенный платформенный модуль - это микрочип, разработанный для предоставления основных связанных с безопасностью функций, большей частью относящихся к ключам шифрования. Доверенный платформенный модуль, как правило, устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.

Компьютеры, в которых присутствует доверенный платформенный модуль, могут создавать криптографические ключи и зашифровывать их таким образом, чтобы расшифровку мог выполнять только доверенный платформенный модуль. Этот процесс, часто называемый «заворачиванием» или «связыванием» ключа, помогает защитить ключ от раскрытия. В каждом доверенном платформенном модуле есть главный связывающий ключ, называемый корневым ключом хранилища (SRK), который хранится внутри самого доверенного платформенного модуля. Закрытая часть ключа, созданного в доверенном платформенном модуле, никогда не открывается любым другим компонентам, программному обеспечению, процессам или пользователям.

Компьютеры с доверенным платформенным модулем также могут создать ключ, который будет не только зашифрован, но и привязан к конкретным платформенным характеристикам. Такой тип ключа может быть расшифрован только в том случае, если платформенные характеристики будут иметь те же значения, которые они имели при создании ключа. Это действие называется «запечатыванием» ключа, Расшифровка ключа называется «распечатыванием». TPM также может использоваться для запечатывания и распечатывания данных, генерируемых вне TPM. Такой запечатанный ключ в совокупности с программным обеспечением (таким как шифрование диска BitLocker) можно использовать, чтобы заблокировать данные, пока не будут выполнены определенные аппаратные или программные условия.

Доверенный платформенный модуль позволяет хранить закрытые части пар ключей вне памяти, управляемой операционной системой. Запечатанные ключи можно привязывать к TPM, что позволяет проверить надежность системы перед тем, как ключи будут распечатаны и готовы к использованию. Так как TPM использует для обработки команд собственное внутреннее микропрограммное обеспечение и логические схемы, он не полагается на операционную систему и не подвержен уязвимостям операционной системы или программного обеспечения.

Компоненты служб доверенного платформенного модуля

В следующей таблице приведены сведения об отдельных компонентах из набора компонентов служб доверенного платформенного модуля.

Компонент доверенного платформенного модуля Назначение     

Драйвер доверенного платформенного модуля

Работающий в режиме ядра драйвер устройства, разработанный для оборудования безопасности TPM, соответствующего спецификациям группы Trusted Computing Group (TCG) 1.2. Соответствие TCG 1.2 обеспечивает повышенную стабильность платформы и устраняет необходимость в наличии драйвера устройства от производителя.

Основные службы TPM (TBS)

TBS - это служба, обеспечивающая общий доступ к ограниченным ресурсам доверенного платформенного модуля. TBS действует как контроллер ресурсов для всех приложений, использующих доверенный платформенный модуль.

Поставщик инструментария управления Windows (WMI) для TPM

Программно раскрывает типовые задачи по настройке TPM для администраторов. Администраторы могут создавать сценарии, использующие этого поставщика.

Оснастка консоли управления TPM

Оснастка консоли управления TPM предоставляет администраторам пользовательский интерфейс для выполнения типовых задач настройки доверенного платформенного модуля. Администраторы могут использовать эту оснастку для доступа к мастеру инициализации доверенного платформенного модуля.

Мастер инициализации TPM

Предназначен для включения и настройки TPM для работы с приложениями или службами, использующими TPM, в частности, с шифрованием диска BitLocker.

Дополнительные сведения см. в других разделах данного файла справки, а также в ресурсах, перечисленных в разделе Ресурсы для управления TPM.


Содержание