В данном пошаговом руководстве предоставляются необходимые инструкции по использованию служб доверенного платформенного модуля (Trusted Platform Module, TPM) в тестовой среде.
Службы TPM представляют собой набор новых возможностей, имеющихся в ОС Microsoft ®Windows Vista™ и Windows Server® «Longhorn». Эти службы используются для управления модулем TPM, обеспечивающим безопасность вашего компьютера. Архитектура служб TPM создает основу для взаимодействия с аппаратными средствами защиты путем предоставления совместного доступа к модулю TPM на уровне приложений.
Доверенный платформенный модуль (TPM) – это микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования. Модуль TPM обычно установлен на материнской плате настольного или переносного компьютера и осуществляет взаимодействие с остальными компонентами системы посредством системной шины. Компьютеры, оснащенные модулем TPM, имеют возможность создавать криптографические ключи и зашифровывать их таким образом, что они могут быть расшифрованы только модулем TPM. Данный процесс, часто называемый «сокрытием» ключа («wrapping» key) или «привязкой» ключа («binding» key), помогает защитить ключ от раскрытия. В каждом модуле TPM есть главный скрытый ключ, называемый ключом корневого хранилища (Storage Root Key, SRK), который хранится в самом модуле TPM. Закрытая часть ключа, созданная в TPM, никогда не станет доступна любому другому компоненту системы, программному обеспечению, процессу или пользователю. Компьютеры, оснащенные модулем TPM, также могут создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. Такой тип ключа может быть расшифрован только в том случае, если характеристика платформы, на которой его пытаются расшифровать, совпадает с той, на которой этот ключ создавался. Данный процесс называется «запечатыванием» ключа в модуле TPM. Дешифрование его называется «распечатыванием» («unsealing»). Модуль TPM также может запечатывать и распечатывать данные, созданные вне модуля TPM. При использовании запечатанного ключа и такого программного обеспечения, как BitLocker™ Drive Encryption, Вы можете обеспечить блокировку данных до тех пор, пока они не будут перенесены на компьютер с подходящей аппаратной или программной конфигурацией. При использовании модуля TPM закрытая часть пар ключей хранится вне памяти, доступ к которой имеет операционная система. Ключи могут быть запечатаны модулем TPM, при этом точное решение о том, является ли система надежной, будет принято до того, как ключи будут распечатаны и готовы к использованию. Поскольку модуль TPM для обработки инструкций использует собственное встроенное программное обеспечение и логические схемы, его работа не зависит от операционной системы. Благодаря этому обеспечивается его защита от возможных уязвимостей внешнего программного обеспечения.
Данное руководство предназначено для:
Мы рекомендуем Вам вначале выполнить в тестовой среде все шаги, описанные в данном руководстве. Данное руководство следует рассматривать как отдельно взятый документ. Его не следует рассматривать как всеобъемлющее руководство по развертыванию определенных возможностей Windows Vista или Windows Server «Longhorn» и пользоваться им, не прибегая к сопроводительной документации, представленной в разделе «Дополнительные источники информации».
Для изучения работы служб TPM необходима тестовая среда, которая состоит из компьютера, подключенного к изолированной сети через обычный концентратор или коммутатор второго уровня. Компьютер должен работать под управлением операционной системы Windows Vista и быть оснащен совместимым модулем TPM (версии 1.2), а также BIOS, соответствующей спецификации Trusted Computing Group (TCG). Рекомендуется также использовать портативный USB-накопитель. При настройке сети для тестовой среды следует использовать частный диапазон IP-адресов.
В данном руководстве рассматриваются следующие сценарии использования служб TPM: Сценарий 1. Инициализация модуля TPM Сценарий 2. Выключение и очистка модуля TPM Сценарий 3. Блокирование и разрешение использования команд TPM 
Примечание Три сценария, представленные в данном руководстве, призваны помочь администратору в освоении возможностей, предоставляемых службами TPM в ОС Windows Vista. В данных сценариях содержится основная информация и описываются процедуры, необходимые для того, чтобы администраторы могли начать процесс конфигурирования и развертывания в своих сетях компьютеров, оснащенных модулями TPM. Информация, а также процедуры, необходимые для дополнительной или расширенной настройки служб TPM, не включены в данное руководство.
Данный сценарий подробно описывает процедуру инициализации модуля TPM в компьютере. Процесс инициализации включает в себя включение модуля TPM и назначение его владельца. Данный сценарий написан для локальных администраторов, ответственных за настройку компьютеров, оснащенных модулем TPM. Несмотря на то, что в Windows Vista поддерживается удаленная инициализация модуля TPM, обычно для выполнения этой операции требуется личное присутствие администратора возле компьютера. Если компьютер поставлен с уже инициализированным модулем TPM, личное присутствие не требуется. Информация об удаленной инициализации, а также необходимые для этого процедуры не включены в данное руководство. Службы TPM задействуют WMI-класс, который позволяет выполнять описанные в данном разделе процедуры с использованием сценариев. Информация о написании сценариев для выполнения указанных задач также не включена в данное руководство.
Для инициализации модуля TPM, установленного в Вашем компьютере, необходимо выполнить следующие шаги: Шаг 1. Инициализация модуля TPM Шаг 2. Назначение владельца модуля TPM
Чтобы модуль TPM мог обеспечивать защиту вашего компьютера, его необходимо вначале инициализировать. В этом разделе описывается процедура инициализации модуля TPM, установленного в компьютере. Компьютеры, соответствующие требованиям ОС Windows Vista, оснащены встроенной в BIOS функциональной возможностью, упрощающей инициализацию модуля TPM посредством мастера инициализации TPM. При запуске мастера инициализации TPM Вы можете определить, был ли модуль TPM, которым оснащен компьютер, инициализирован, или нет. Описанная ниже процедура проведет Вас по всем шагам инициализации модуля TPM с помощью мастера инициализации TPM. Примечание Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами администратора.
Перед тем, как модуль TPM можно будет использовать для обеспечения безопасности вашего компьютера, необходимо назначить владельца этого модуля. При назначении владельца модуля TPM Вам необходимо указать пароль. Пароль является гарантией того, что только авторизованный владелец модуля TPM может получить к нему доступ и управлять им. Пароль также используется для отключения модуля TPM в том случае, если Вы больше не хотите его использовать, а также для очистки модуля TPM в случае, если компьютер подготавливается к утилизации. Следующая процедура позволит Вам стать владельцем модуля TPM. Описанные ниже шаги проведут Вас через процедуру назначения владельца модуля TPM с использованием мастера инициализации TPM. Примечание Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
сохранения пароля и нажмите кнопку Сохранить. Пароль сохранится в файле с названием «имя_компьютера.tpm».
Важно. Настоятельно рекомендуется сохранять пароль владельца TPM на съемном носителе.
Важно. Мы настоятельно рекомендуем распечатать пароль владельца TPM и хранить его в надежном месте.
Примечание. Для завершения процесса инициализации модуля TPM может потребоваться несколько минут.
Внимание. Не потеряйте Ваш пароль. В случае потери пароля Вы не сможете производить никаких административных изменений до тех пор, пока не очистите модуль TPM.
В данном сценарии рассматриваются две распространенные задачи, с которыми придется столкнуться администраторам во время изменения конфигурации или утилизации компьютера, оснащенного модулем TPM. Этими задачами являются выключение модуля TPM и его очистка.
Некоторые администраторы могут решить, что не на каждом компьютере в их сети, оснащенном модулем TPM, необходима дополнительная защита, которую обеспечивает этот модуль. В такой ситуации рекомендуется убедиться в том, что модули TPM на соответствующих компьютерах отключены. Представленная ниже процедура проведет Вас через весь процесс выключения модуля TPM. Примечание Для выключения модуля TPM личное присутствие администратора не требуется. Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Примечание. Для выключения модуля TPM без ввода пароля владельца TPM и выполнения ограниченного числа задач, связанных с администрированием, требуется личное присутствие администратора возле компьютера. Состояние модуля TPM отображается в области Состояние консоли управления TPM.
Очистка модуля TPM приводит к отмене права владения модулем TPM и отключению модуля TPM. Данное действие необходимо выполнять в том случае, если оснащенный модулем TPM компьютер необходимо утилизировать, или когда пароль владельца TPM утерян. Shirts columbia Представленная ниже процедура проведет Вас через весь процесс очистки модуля TPM. Примечание Для очистки модуля TPM личное присутствие администратора не требуется. Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Примечание. Для очистки модуля TPM и выполнения ограниченного числа задач, связанных с администрированием, без необходимости ввода пароля владельца TPM, требуется личное присутствие администратора возле компьютера. Состояние модуля TPM отображается в поле Состояние консоли управления TPM.
Данный сценарий описывает процедуру блокирования и разрешения использования команд модуля TPM. Эту задачу локальные администраторы могут выполнять во время начальной конфигурации компьютера, оснащенного модулем TPM, или во время изменения его конфигурации. Командами модуля TPM можно управлять через дочерний узел консоли управления TPM, который называется Управление командами. Здесь администраторы могут просматривать команды, доступные для использования с модулем TPM. Они также могут блокировать и разрешать использование этих команд в пределах ограничений, накладываемых настройками групповой политики и настройками локального компьютера. Представленная ниже процедура проведет Вас через весь процесс блокирования и разрешения использования команд модуля TPM. Примечание Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Примечание. Локальные администраторы не могут разрешать использовать команды TPM, заблокированные с помощью групповой политики. Команды TPM, указанные по умолчанию в списке заблокированных консоли MMC, также нельзя будет разрешить до тех пор, пока в групповую политику не будут внесены соответствующие изменения, отменяющие действие списка блокировки, заданного по умолчанию.
Поскольку службы TPM предоставляют новые возможности в ОС Windows Server «Longhorn» и Windows Vista, мы очень заинтересованы в получении ваших отзывов о работе с ними, о возможных проблемах, с которыми Вам пришлось столкнуться, а также о полезности имеющейся документации. Когда Вы обнаруживаете ошибки, следуйте инструкциям, приведенным на веб-узле Microsoft Connect. Мы также заинтересованы в получении ваших предложений и отзывов общего характера относительно служб TPM. Ваши отзывы и общие вопросы относительно служб TPM Вы можете направлять на следующий адрес электронной почты: mailto:tpminfo@microsoft.com?subject=Windows Vista Beta 2 Trusted Platform Module Services Step by Step Guide.
Указанные ниже источники предоставляют дополнительную информацию о службах TPM:
Если Вы являетесь бета-тестером и принимаете участие в специальной партнерской программе внедрения технологий Technology Adoption Program (TAP), Вы также можете обращаться за помощью к назначенному Вам представителю группы разработчиков корпорации Майкрософт.
Tags: bind, Windows Vista