信賴平台模組 (TPM) 會自行鎖定,以防止竄改或攻擊;這稱為鎖定。TPM 鎖定通常會持續一段不定期的時間,或是鎖定到電腦關機為止。TPM 在鎖定模式時,通常會在收到要求驗證值的命令時傳回錯誤。但有一個例外,就是 TPM 在鎖定模式時,會允許擁有者至少嘗試一次重設 TPM 鎖定。如果您的 TPM 已經進入鎖定模式,或是對命令的回應緩慢,我們建議重設鎖定值。重設 TPM 鎖定需要 TPM 擁有者授權。TPM 擁有者授權是在系統管理員一開始取得 TPM 擁有權時所設定。擁有者授權密碼會進行雜湊,以建立 TPM 所儲存的擁有者授權值。我們建議系統管理員將擁有者授權雜湊值儲存到以 .tpm 副檔名結尾的 TPM 擁有者密碼檔案,這個檔案包含 XML 結構中的擁有者授權雜湊值。基於安全性,TPM 擁有者密碼檔案不包含原始擁有者密碼。TPM 擁有權通常是在電腦第一次開啟 BitLocker 磁碟機加密時取得。在此案例中,TMP 擁有者授權密碼會連同 BitLocker 修復金鑰一起儲存。將 BitLocker 修復金鑰儲存到檔案時,BitLocker 也會將 TPM 擁有者密碼檔案 (.tpm) 連同 TPM 擁有者密碼雜湊值一起儲存。在列印 BitLocker 修復金鑰時,會同時列印 TMP 擁有者密碼。如果組織的群組原則設定是設定為 TPM 擁有者密碼雜湊值儲存到 Active Directory 網域服務 (AD DS),您也可以這樣做。

了解 TPM 保護機制

在某些情況下,會要求有效的授權值才能存取金鑰,藉此讓 TPM 保護加密金鑰。(最常見的範例是 BitLocker 磁碟機加密設定成使用 TPM + PIN 金鑰保護裝置,使用者必須在開機程序期間輸入正確的 PIN,才能存取 TPM 保護的磁碟區加密金鑰。)為了防止惡意實體探索授權值,TPM 實作了保護邏輯。保護邏輯的設計目的在於當 TPM 偵測到實體可能嘗試猜測授權值時,放慢或停止 TPM 的回應。

Trusted Computing Group (TCG) 組織的產業標準指定 TPM 製造商必須在 TPM 1.2 晶片中,實作某些形式的保護邏輯。不同的 TPM 製造商會實作不同的保護機制與行為。一般指導方針是在不正確的授權值傳送到 TPM 時,讓 TPM 晶片以指數增加的長時間回應。某些 TPM 晶片不會儲存一段時間內失敗的嘗試。其他 TPM 晶片可能會無限期儲存每個失敗的嘗試。因此,有些使用者輸入錯誤的授權值傳送到 TPM 時,可能會發現延遲愈來愈長,基本上會使他們一段時間無法使用 TPM。使用者可以完成下列程序,以重設 TPM 中的保護機制。

附註

TPM 中的保護邏輯也適用於 TPM 擁有者授權值。業界標準指定,即使 TPM 為鎖定狀態,使用者也可以使用擁有者授權值,至少嘗試重設一次 TPM 鎖定。如果嘗試重設 TPM 鎖定時使用錯誤的值,那麼在之後嘗試輸入擁有者授權值時,TPM 的回應可能會將正確的值視為不正確,或是回應 TPM 已經鎖定。

 

重設 TPM 鎖定
  1. 開啟 TPM 管理 (tpm.msc) 嵌入式管理單元。

  2. [執行] 窗格中,按一下 [重設 TPM 鎖定] 以啟動 [重設 TPM 鎖定] 精靈。

  3. 選擇輸入 TPM 擁有者密碼的方法:

    • 如果您將 TPM 擁有者密碼儲存到 .tpm 檔案,按一下 [我有擁有者密碼檔案],然後輸入檔案路徑或是按一下 [瀏覽] 瀏覽至檔案位置。

    • 如果您要手動輸入 TPM 擁有者密碼,按一下 [我要輸入擁有者密碼],然後在提供的空白中輸入密碼。如果您已同時啟用 BitLocker 和 TPM,並在開啟 BitLocker 時選擇列印 BitLocker 修復密碼,則 TPM 擁有者密碼可能已經列印在相同的紙張上。

TPM 擁有者密碼驗證後,會顯示確認 TPM 鎖定已重設的對話方塊。

常見問題集 (FAQ)

何時應該重設 TPM 鎖定?

最有可能的狀況是在開機程序期間,使用者在使用金鑰保護裝置 (由 TPM 與 PIN 組成) 和輸入不正確的 PIN 時,發現回應時間變慢。系統可能會看起來凍結一段時間,然後才通知使用者輸入了不正確的 PIN,而且已鎖定 TPM。鎖定 TPM 時,使用者也有可能輸入正確的 PIN,但是 TPM 有一段時間的回應就好像輸入了不正確的 PIN。其他使用 TPM 與授權值的應用程式,可能會發生類似的行為,但是如果作業系統已經啟動,比較有可能的是只有與 TPM 通訊的應用程式沒有回應。因為 TPM 可能會無限制地儲存所有傳送到 TPM 的不正確授權嘗試,所以如果使用者經常輸入錯誤的授權值 (例如 BitLocker PIN),可能會想要主動重設 TPM 鎖定。

如果已啟用 TPM 保護邏輯保護授權值,預期應該會有哪些行為?

硬體平台的行為將隨平台製造商所選擇的執行方式而異。通常硬體製造商都會以指數方式延遲 TPM 晶片的回應。不過,也有可能 TPM 晶片有立即回應,但是有一段時間它的回應就好像正確的授權值不正確。如需更具體的行為資訊,請連絡平台製造商。

如果 TPM 在使用 BitLocker 的當時已鎖定,在開機程序期間將會有機會開啟 BitLocker 修復主控台或是等待重新輸入 PIN。

啟動 Windows 之後,TPM 管理會將 TPM 的狀態顯示為目前已鎖定。

任何與授權值有關或是嘗試將 TPM 擁有者密碼傳送至 TPM 的命令,將會在鎖定 TPM 時造成 TPM 產生錯誤。

如果我不記得 TPM 擁有者密碼,應該怎麼辦?

當系統管理員最初取得您電腦上的 TPM 擁有權時,有可能將 TPM 擁有者授權雜湊值儲存到以 .tpm 副檔名結尾的檔案。請在檔案系統中搜尋以 .tpm 結尾的檔案。如果您列印 BitLocker 修復密碼,可能會同時列印 TPM 擁有者密碼。如果您找不到 TPM 擁有者密碼,可以清除 TPM 並再次取得擁有權。這項動作必須小心執行,因為使用 TPM 加密的資料將會遺失。如果您使用 BitLocker,請確定在清除 TPM 之前先擱置或關閉 BitLocker。如需清除 TPM 的相關資訊,請參閱清除 TPM

TPM 擁有者授權湊雜值的保密很重要嗎?

是。如果有惡意的實體取得您的 TPM 擁有者授權雜湊值,該實體可能會一直嘗試猜測加密金鑰授權值 (例如,BitLocker PIN)、使用 TPM 擁有者授權雜湊值重設 TPM 鎖定,並不斷地重複。如果大小很小,最後授權值有可能會被發現。

TPM 擁有者密碼與 TPM 擁有者授權雜湊值的相關性為何?

TPM 擁有者密碼是使用 SHA-1 進行雜湊,並使用 Base-64 編碼建立 TPM 擁有者授權雜湊值。