Güvenilir Platform Modülü (TPM) kurcalamayı ve saldırıları önlemek için kendini kilitler; buna kilitlenme denir. TPM kilitleme genellikle bilgisayar kapatılıncaya kadar değişken sürelerde devrede kalır. TPM, kilitleme modundayken, kimlik doğrulama değeri gerektiren komutlar aldığında genellikle bir hata döndürür. Bunun tek istisnası, kilitleme modundayken TPM'in sahibe her zaman en az bir kez TPM kilitlenmesini sıfırlama denemesi izni vermesidir. TPM'niz kilitlenme moduna girdiyse veya komutlara yavaş yanıt veriyorsa, kilitleme değerini sıfırlamanızı öneririz. TPM kilitlenmesini sıfırlamak TPM sahip kimlik doğrulaması gerektirir. TPM sahip kimlik doğrulaması, yönetici sonunda TPM'nin sahipliğini aldığında ayarlanır. Sahip kimlik doğrulama parolası, bir sahip kimlik doğrulama değeri oluşturmak üzere karma değer işleminden geçirilir, bu değer TPM'de depolanır. Yöneticinin sahip kimlik doğrulama karma değerini, kimlik doğrulama karma değerini bir XML yapısı içinde içeren .tpm uzantısı ile biten TPM sahip parola dosyasına kaydetmesi önerilir. Güvenlik için TPM sahip parolası dosyası özgün sahip parolasını içermez. TPM sahipliği normalde BitLocker Sürücü Şifrelemesi bilgisayarda ilk kez açıldığında alınır. Bu senaryoda TPM sahip kimlik doğrulama parolası, BitLocker kurtarma parolası ile birlikte kaydedilir. BitLocker kurtarma anahtar bir dosyaya kaydedildiğinde, BitLocker ayrıca, TPM sahip parolası karma değeri ile birlikte bir TPM sahip parolası dosyası kaydeder. BitLocker kurtarma anahtarı yazdırıldığında, TPM sahip parolası aynı zamanda yazdırılır. Ayrıca, kuruluşunuzun Grup İlkesi ayarları bunu yapmak için yapılandırılmışsa, TPM sahip parola karma değerini Active Directory Etki Hizmetleri'ne (AD DS) kaydedebilirsiniz.

TPM koruma mekanizmalarını anlama

Bazı senaryolarda, şifreleme anahtarları, anahtara erişmek için geçerli bir kimlik doğrulama değeri isteyerek TPM tarafından korunur. (Tipik bir örnek, kullanıcının, önyükleme sırasında, TPM tarafından korunan birim şifreleme anahtarına erişmek için doğru PIN'i girmesi gereken TPM + PIN anahtarı koruyucusu kullanan BitLocker Sürücü Şifrelemesi'dir.) TPM'ler, kötü niyetli kimselerin kimlik doğrulama değerlerini keşfetmesini önlemek için, koruma mantığı uygular. Koruma mantığı, birisinin kimlik doğrulama değerini tahmin etkmeye çalıştığını algılarsa, TPM'den gelen yanıtları yavaşlatmak veya durdurmak için tasarlanmıştır.

Trusted Computing Group (TCG) kuruluşunun endüstri standartları, TPM üreticilerinin TPM 1.2 yongalarında bir biçimde koruma mantığı uygulamaları gerektiğini belirtir. Farklı TPM üreticileri farklı koruma mekanizmaları ve davranışları uygular. Genel kılavuz ilke, TPM yongasının TPM'ye yanlış kimlik doğrulama değerleri gönderilirse, üstel olarak artan sürelerde yanıt vermesidir. Bazı TPM yongaları, başarısız girişimleri zamanla depolamayabilir. Diğer TPM yongaları, her başarısız girişimi süresiz depolayabilir. Bu yüzden bazı kullanıcılar, TPM'ye gönderilen kimlik doğrulama değerini yanlış yazdıklarında giderek daha uzun gecikmeler yaşayabilir, bu da TPM'yi uzun süre kullanmalarını engelleyebilir. Kullanıcılar TPM'deki koruma mekanizmalarını, aşağıdaki yordamı tamamlayarak sıfırlayabilir.

Not

TPM'deki koruma mantığı, ayrıca TPM sahip kimlik doğrulama değeri için de geçerlidir. Endüstri standartları kullanıcının, TPM kilitlenmesini, TPM kilitli olduğunda bile sahip kimlik değerini kullanarak sıfırlamak için en az bir girişimde bulunmasına izin verilmesini belirtir. TPM kilitlenmesi sıfırlanmaya çalışılırken yanlış değer kullanılırsa, sonraki sahip kimlik doğrulama değeri girme girişimlerinde, TPM, doğru değer yanlışmış gibi veya TPM kilitlenmiş gibi yanıt verebilir.

 

TPM kilitlenmesini sıfırlamak için
  1. TPM Yönetimi (tpm.msc) ek bileşenini açın.

  2. Eylem bölmesinde, TPM Kilitlenmesi Sıfırlama sihirbazını başlatmak için TPM Kilitlenmesini Sıfırla'yı tıklatın.

  3. TPM sahip parolasını girme yöntemini seçin:

    • TPM sahip parolanızı bir .tpm dosyasına kaydettiyseniz, Sahip parolam var'ı tıklatın, sonra dosyanın yolunu yazın veya dosyanın konumuna gitmek için Gözat'ı tıklatın.

    • TPM sahip parolanızı el ile girmek istiyorsanız, Sahip parolasını girmek istiyorum'u tıklatın, sonra parolayı sağlanan yere yazın. BitLocker'ı ve TPM'inizi aynı anda etkinleştirdiyseniz ve BitLocker'ı açtığınızda BitLocker kurtarma parolanızı yazdırdıysanız, TPM sahip parolanız de aynı sayfaya yazdırılmış olabilir.

TPM sahip parolasının doğruluğu belirlendikten sonra, TPM kilitlenmesinin sıfırlandığını doğrulayan bir iletişim kutusu görüntülenir.

Sık Sorulan Sorular (SSS)

TPM kilitlenmesini neden sıfırlamalıyım?

En olası senaryo, önyükleme işlemi sırasında kullanıcıların (TPM ve PIN'den oluşan) bir anahtar koruyucu kullanırken ve yanlış bir PIN girerken yanıt süresinin yavaş olduğunu algılamalarıdır. Sistem, kullanıcıya yanlış PIN girildiğini ve TPM'nin kilitlendiğini bildirmeden önce bir süre donmuş gibi görünür. TPM kilitlendiği zaman, kullanıcı doğru PIN'i girecek olabilir, ancak TPM bir süre boyunca yanlış PIN girilmiş gibi yanıt verecektir. TPM kimlik doğrulama değerlerini kullanan başka uygulamalar için benzer davranışlar olabilir, ancak işletim sistemi çoktan başladıysa, yalnızca TPM ile iletişim kuran uygulamanın yanıt vermez duruma gelmesi daha olasıdır. TPM kendisine gönderilen yanlış kimlik doğrulama girişimlerini süresiz depoluyor olabileceğinden, kullanıcılar, BitLocker PIN'i gibi kimlik doğrulama değerlerini sık sık yanlış yazıyorlarsa, TPM kilitlenmesini doğrudan kendileri sıfırlamak isteyebilirler.

Kimlik doğrulama değerlerini korumak için TPM koruma mantığı etkinleştirilmişse ne tür davranışlar beklemeliyim?

Donanım platformunun davranışı, platformun üreticisinin yaptığı uygulama tercihlerine bağlı olarak değişebilir. Genelde, donanım üreticilerinin TPM yongasından gelen yanıtı üstel olarak artan sürelerde geciktirmeleri beklenmektedir. Ayrıca TPM yongasının bir süre boyunca yanıt vermeyi sürdürse de doğru kimlik doğrulama değeri yanlışmış gibi yanıt vermesi de olasıdır. Davranışlar hakkında daha ayrıntılı bilgi için, platform üreticinize başvurun.

TPM BitLocker'ı kullanırken kilitli durumdaysa, önyükleme işlemi sırasında BitLocker kurtarma konsolunu açmak için veya PIN'i yeniden girmek üzere beklemek için bir fırsatınız olacak.

Windows başladıktan sonra, TPM Yönetimi TPM'nin durumunu halen kilitli olarak gösterir.

Kimlik doğrulama değerlerini gerektiren herhangi bir komut veya TPM'ye TPM sahip parolasını gönderme girişimi, TPM kilitli olduğu sürece TPM'den hata alınmasına neden olacaktır.

TPM sahip parolamı anımsamazsam ne yapmalıyım?

TPM sahip kimlik doğrulama karma değerinin, yönetici, bilgisayarınızdaki TPM'nin sahipliğini ilk kez aldığında .tpm uzantısı ile biten bir dosyaya kaydedilmiş olması olasıdır. Dosya sisteminizde .tpm ile biten bir dosya arayın. BitLocker kurtarma parolanızı yazdırdıysanız, TPM sahip parolanız da aynı anda yazdırılmış olabilir. TPM sahip parolanızı bulamıyorsanız, TPM'yi temizleyip yeniden sahipliğini alabilirsiniz. Bu, TPM ile şifrelenmiş veriler yitirilebileceğinden dikkatli yapılmalıdır. BitLocker kullanıyorsanız, TPM'yi temizlemeden önce BitLocker'ı askıya almayı veya kapatmayı unutmayın. TPM'nizi temizleme hakkında daha fazla bilgi için, bkz. TPM'yi temizleme.

TPM sahiplik kimlik doğrulama karma değerimi gizli tutmam önemli mi?

Evet. Kötü niyetli biri TPM sahip kimlik doğrulama karma değerinizi edinirse, şifreleme anahtarı kimlik doğrulama değerini (örneğin BitLocker PIN'ini) tahmin etmek için birkaç girişimde bulunabilir, TPM sahip kimlik doğrulama karma değerini TPM kilitlemesini sıfırlamak için kullanabilir ve bunları süresiz yineleyebilir. Eninde sonunda, kimlik doğrulama değeri, boyutu küçükse, keşfedilebilir.

TPM sahip parolası ile TPM sahip kimlik doğrulama karma değeri arasındaki ilişki nedir?

TPM sahip parolasından SHA-1 kullanılarak karma değer üretilir ve parola, TPM sahip kimlik doğrulama karma değeri oluşturmak için 64 tabanlı olarak kodlanır.