TPM 管理是一个 Microsoft 管理控制台 (MMC) 管理单元,利用该管理单元,管理员可以与受信任的平台模块 (TPM) 服务进行交互。TPM 服务用于管理计算机中的 TPM 安全硬件。通过提供对 TPM 的访问并保证应用程序级别的 TPM 共享,TPM 服务体系结构可提供基于硬件的安全基础结构。

什么是受信任的平台模块?

TPM 是一个微芯片,设计用于提供基本安全性相关功能,主要涉及加密密钥。TPM 通常安装在计算机的主板上,通过硬件总线与系统的其余部分进行通信。

合并 TPM 的计算机可以创建加密密钥并对其进行加密,以便只能由 TPM 对这些密钥进行解密。此过程通常称作“覆盖”或“绑定”密钥,可以有助于避免泄露密钥。每个 TPM 都有一个主“覆盖”密钥,称为存储根密钥,存储在 TPM 的内部。在 TPM 中创建的密钥的隐私部分从不暴露给其他组件、软件、进程或者人员。

合并 TPM 的计算机还可以创建一个密钥,该密钥不仅被覆盖,而且还被绑定到特定平台度量。只有在那些平台度量具有的值与创建该密钥时具有的值相同时,才能取消覆盖这种类型的密钥。此过程称作将该密钥“密封”到 TPM。对密钥进行解密称作“解封”。TPM 还可以对在 TPM 外部生成的数据进行密封和解封。使用此密封的密钥和软件(如 BitLocker 驱动器加密),可以一直锁定数据,直到符合特定的硬件条件或软件条件。

使用 TPM,密钥对的隐私部分在操作系统控制的内存之外单独保存。可以将密钥密封到 TPM 中,并且可以做某些有关系统状态的保证(如定义系统“可信赖”的保证)才能解封和释放这些密钥以备使用。因为 TPM 使用自身的内部固件和逻辑电路来处理指令,所以它不依赖于操作系统,也不会受操作系统或应用程序中可能存在的漏洞影响。

受信任的平台模块服务组件

下表对组成 TPM 服务功能集的各个组件进行了详细说明。

TPM 组件 作用

TPM 驱动程序

TPM 驱动程序是一个内核模式设备驱动程序,是专为符合受信任计算组 (TCG) 1.2 规范的 TPM 安全硬件而设计。符合 TCG 1.2 即可以提供更多的平台稳定性,并且不需要使用特定于供应商的设备驱动程序。

TPM 基础服务 (TBS)

TBS 是一项提供共享 TPM 上有限资源的服务。对于所有使用 TPM 的应用程序,TBS 可用作资源控制器。

TPM Windows Management Instrumentation (WMI) 提供程序

TPM WMI 提供程序可将 TPM 的常见配置任务以编程方式显示给管理员。管理员可以编写使用此提供程序的脚本。

TPM 管理管理单元

TPM 管理管理单元可以将常见的 TPM 配置任务通过用户界面展示给管理员。管理员可使用此管理单元访问 TPM 初始化向导。

TPM 初始化向导

TPM 初始化向导的目的是打开并配置 TPM,以便与使用 TPM 的应用程序或服务(如 BitLocker 驱动器加密)结合使用。

有关详细信息,请参阅本帮助文件中的其他主题和用于 TPM 管理的资源中所列的资源。