Sunday, July 23rd, 2017

Пошаговое руководство по использованию служб TPM в ОС Windows Vista

Published on Март 13, 2009 by   ·   Комментариев нет

В данном пошаговом руководстве предоставляются необходимые инструкции по использованию служб доверенного платформенного модуля (Trusted Platform Module, TPM) в тестовой среде.

Что такое службы TPM?

Службы TPM представляют собой набор новых возможностей, имеющихся в ОС Microsoft ®Windows Vista™ и Windows Server® «Longhorn». Эти службы используются для управления модулем TPM, обеспечивающим безопасность вашего компьютера. Архитектура служб TPM создает основу для взаимодействия с аппаратными средствами защиты путем предоставления совместного доступа к модулю TPM на уровне приложений.

Что такое модуль TPM?

Доверенный платформенный модуль (TPM) – это микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования. Модуль TPM обычно установлен на материнской плате настольного или переносного компьютера и осуществляет взаимодействие с остальными компонентами системы посредством системной шины.

Компьютеры, оснащенные модулем TPM, имеют возможность создавать криптографические ключи и зашифровывать их таким образом, что они могут быть расшифрованы только модулем TPM. Данный процесс, часто называемый «сокрытием» ключа («wrapping» key) или «привязкой» ключа («binding» key), помогает защитить ключ от раскрытия. В каждом модуле TPM есть главный скрытый ключ, называемый ключом корневого хранилища (Storage Root Key, SRK), который хранится в самом модуле TPM. Закрытая часть ключа, созданная в TPM, никогда не станет доступна любому другому компоненту системы, программному обеспечению, процессу или пользователю.

Компьютеры, оснащенные модулем TPM, также могут создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. Такой тип ключа может быть расшифрован только в том случае, если характеристика платформы, на которой его пытаются расшифровать, совпадает с той, на которой этот ключ создавался. Данный процесс называется «запечатыванием» ключа в модуле TPM. Дешифрование его называется «распечатыванием» («unsealing»). Модуль TPM также может запечатывать и распечатывать данные, созданные вне модуля TPM. При использовании запечатанного ключа и такого программного обеспечения, как BitLocker™ Drive Encryption, Вы можете обеспечить блокировку данных до тех пор, пока они не будут перенесены на компьютер с подходящей аппаратной или программной конфигурацией.

При использовании модуля TPM закрытая часть пар ключей хранится вне памяти, доступ к которой имеет операционная система. Ключи могут быть запечатаны модулем TPM, при этом точное решение о том, является ли система надежной, будет принято до того, как ключи будут распечатаны и готовы к использованию. Поскольку модуль TPM для обработки инструкций использует собственное встроенное программное обеспечение и логические схемы, его работа не зависит от операционной системы. Благодаря этому обеспечивается его защита от возможных уязвимостей внешнего программного обеспечения.

Для кого предназначено данное руководство?

Данное руководство предназначено для:

  • ИТ-специалистов, занимающихся планированием и анализом информационной инфраструктуры, оценивающих функциональные возможности продукта.
  • Специалистов, осуществляющих раннее внедрение продукта.
  • Архитекторов безопасности, ответственных за реализацию концепции trustworthy computing.

Требования для использования служб TPM

Мы рекомендуем Вам вначале выполнить в тестовой среде все шаги, описанные в данном руководстве. Данное руководство следует рассматривать как отдельно взятый документ. Его не следует рассматривать как всеобъемлющее руководство по развертыванию определенных возможностей Windows Vista или Windows Server «Longhorn» и пользоваться им, не прибегая к сопроводительной документации, представленной в разделе «Дополнительные источники информации».

Подготовка тестовой среды для изучения работы служб TPM

Для изучения работы служб TPM необходима тестовая среда, которая состоит из компьютера, подключенного к изолированной сети через обычный концентратор или коммутатор второго уровня. Компьютер должен работать под управлением операционной системы Windows Vista и быть оснащен совместимым модулем TPM (версии 1.2), а также BIOS, соответствующей спецификации Trusted Computing Group (TCG). Рекомендуется также использовать портативный USB-накопитель. При настройке сети для тестовой среды следует использовать частный диапазон IP-адресов.

Основные сценарии использования служб TPM

В данном руководстве рассматриваются следующие сценарии использования служб TPM:

Сценарий 1. Инициализация модуля TPM

Сценарий 2. Выключение и очистка модуля TPM

Сценарий 3. Блокирование и разрешение использования команд TPM

Для чего tpm модуль Примечание

Три сценария, представленные в данном руководстве, призваны помочь администратору в освоении возможностей, предоставляемых службами TPM в ОС Windows Vista. В данных сценариях содержится основная информация и описываются процедуры, необходимые для того, чтобы администраторы могли начать процесс конфигурирования и развертывания в своих сетях компьютеров, оснащенных модулями TPM. Информация, а также процедуры, необходимые для дополнительной или расширенной настройки служб TPM, не включены в данное руководство.

Сценарий 1. Инициализация модуля TPM

Данный сценарий подробно описывает процедуру инициализации модуля TPM в компьютере. Процесс инициализации включает в себя включение модуля TPM и назначение его владельца. Данный сценарий написан для локальных администраторов, ответственных за настройку компьютеров, оснащенных модулем TPM.

Несмотря на то, что в Windows Vista поддерживается удаленная инициализация модуля TPM, обычно для выполнения этой операции требуется личное присутствие администратора возле компьютера. Если компьютер поставлен с уже инициализированным модулем TPM, личное присутствие не требуется. Информация об удаленной инициализации, а также необходимые для этого процедуры не включены в данное руководство. Службы TPM задействуют WMI-класс, который позволяет выполнять описанные в данном разделе процедуры с использованием сценариев. Информация о написании сценариев для выполнения указанных задач также не включена в данное руководство.

Шаги по инициализации модуля TPM

Для инициализации модуля TPM, установленного в Вашем компьютере, необходимо выполнить следующие шаги:

Шаг 1. Инициализация модуля TPM

Шаг 2. Назначение владельца модуля TPM

Шаг 1. Инициализация модуля TPM

Чтобы модуль TPM мог обеспечивать защиту вашего компьютера, его необходимо вначале инициализировать. В этом разделе описывается процедура инициализации модуля TPM, установленного в компьютере.

Компьютеры, соответствующие требованиям ОС Windows Vista, оснащены встроенной в BIOS функциональной возможностью, упрощающей инициализацию модуля TPM посредством мастера инициализации TPM. При запуске мастера инициализации TPM Вы можете определить, был ли модуль TPM, которым оснащен компьютер, инициализирован, или нет.

Описанная ниже процедура проведет Вас по всем шагам инициализации модуля TPM с помощью мастера инициализации TPM.

Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами администратора.

Для запуска мастера инициализации TPM и инициализации модуля TPM выполните следующие действия:

  1. В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
  2. Введите tpm.msc в поле Открыть, после чего нажмите клавишу Enter.
  3. Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
  4. Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.
  5. В меню Действие выберите команду Инициализировать TPM. При этом запустится мастер инициализации TPM.
    • Если модуль TPM отключен, мастер инициализации TPM отобразит диалоговое окно Включите оборудование безопасности для доверенного платформенного модуля. В этом диалоговом окне представлены инструкции по инициализации модуля TPM.
    • В случае, если модуль TPM уже был инициализирован, мастер инициализации TPM отобразит диалоговое окно Создайте пароль владельца доверенного платформенного модуля. После этого переходите к разделу «Шаг 2. Назначение владельца модуля TPM».
    • Если мастер инициализации TPM определит, что BIOS не соответствует требованиям ОС Windows Vista, Вам не удастся продолжить работу с мастером, при этом Вам будет предложено обратиться к документации к Вашему компьютеру для получения информации о процессе инициализации модуля TPM.
  6. Нажмите кнопку Перезагрузить компьютер, после чего следуйте указаниям на экране, которые будет выдавать BIOS.
    Примечание. Сообщения, выводимые BIOS, а также необходимые действия пользователя могут отличаться в зависимости от производителя оборудования.
  7. После перезагрузки на экране будет отображено уведомление, для ответа на которое требуется личное присутствие пользователя. Это гарантирует, что модуль TPM пытается инициализировать пользователь, а не вредоносное программное обеспечение.
  8. Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
  9. Щелкните Автоматически подготовить модуль TPM для назначения владельца (рекомендуется).
  10. Далее выполните действия, описанные в шаге 2.

Шаг 2. Назначения владельца модуля TPM

Перед тем, как модуль TPM можно будет использовать для обеспечения безопасности вашего компьютера, необходимо назначить владельца этого модуля. При назначении владельца модуля TPM Вам необходимо указать пароль. Пароль является гарантией того, что только авторизованный владелец модуля TPM может получить к нему доступ и управлять им. Пароль также используется для отключения модуля TPM в том случае, если Вы больше не хотите его использовать, а также для очистки модуля TPM в случае, если компьютер подготавливается к утилизации.

Следующая процедура позволит Вам стать владельцем модуля TPM.

Описанные ниже шаги проведут Вас через процедуру назначения владельца модуля TPM с использованием мастера инициализации TPM.

Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.

Для назначения владельца модуля TPM выполните следующие действия

  1. Если Вы уже инициализировали модуль TPM, запустите мастер инициализации TPM. Если Вам необходимо узнать, как это делается, обратитесь к разделу «Шаг 1. Инициализация модуля TPM», представленного ранее в этом руководстве.
  2. В диалоговом окне Создайте пароль владельца доверенного платформенного модуля выберите Автоматически создать пароль (рекомендуется).
  3. В диалоговом окне Сохранить Ваш пароль владельца доверенного платформенного модуля нажмите кнопку Сохранить пароль.
  4. В диалоговом окне Сохранить как выберите место

    сохранения пароля и нажмите кнопку Сохранить. Пароль сохранится в файле с названием «имя_компьютера.tpm».

  5. Важно. Настоятельно рекомендуется сохранять пароль владельца TPM на съемном носителе.

  6. Если Вы хотите иметь печатную копию пароля, нажмите кнопку Напечатать пароль.
  7. Важно. Мы настоятельно рекомендуем распечатать пароль владельца TPM и хранить его в надежном месте.

  8. Нажмите кнопку Инициализировать.
  9. Примечание. Для завершения процесса инициализации модуля TPM может потребоваться несколько минут.

  10. Нажмите кнопку Закрыть.

Внимание. Не потеряйте Ваш пароль. В случае потери пароля Вы не сможете производить никаких административных изменений до тех пор, пока не очистите модуль TPM.

Сценарий 2. Выключение и очистка модуля TPM

В данном сценарии рассматриваются две распространенные задачи, с которыми придется столкнуться администраторам во время изменения конфигурации или утилизации компьютера, оснащенного модулем TPM. Этими задачами являются выключение модуля TPM и его очистка.

Выключение модуля TPM

Некоторые администраторы могут решить, что не на каждом компьютере в их сети, оснащенном модулем TPM, необходима дополнительная защита, которую обеспечивает этот модуль. В такой ситуации рекомендуется убедиться в том, что модули TPM на соответствующих компьютерах отключены. Представленная ниже процедура проведет Вас через весь процесс выключения модуля TPM.

Примечание
Для выключения модуля TPM личное присутствие администратора не требуется.

Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.

Для выключения модуля TPM выполните следующие действия

  1. В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
  2. Введите tpm.msc в поле Открыть и нажмите клавишу Enter. Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.
  3. Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
  4. В меню Действия выберите команду Отключить TPM.
  5. В диалоговом окне Выключите оборудование безопасности для доверенного платформенного модуля выберите метод ввода пароля и выключения модуля TPM:
    • Если у Вас имеется съемный носитель, на который Вы ранее сохранили пароль владельца модуля TPM, вставьте его в считывающее устройство и нажмите Имеется архивный файл с паролем владельца TPM. В диалоговом окне Выберите файл резервной копии с паролем владельца доверенного платформенного модуля нажмите кнопку Обзор, чтобы выбрать файл с расширением .tpm, расположенный на съемном носителе, затем нажмите кнопку Открыть, после чего нажмите кнопку Отключить доверенный платформенный модуль.
    • В случае отсутствия съемного носителя с сохраненным паролем выберите Ввести вручную пароль владельца TPM. В появившемся диалоговом окне Введите свой пароль владельца доверенного платформенного модуля введите Ваш пароль (включая дефисы) и нажмите кнопку Отключить доверенный платформенный модуль.
    • Если Вы не знаете пароль владельца TPM, выберите Нет пароля владельца TPM и следуйте инструкциям, позволяющим выключить модуль TPM без ввода пароля.

Примечание. Для выключения модуля TPM без ввода пароля владельца TPM и выполнения ограниченного числа задач, связанных с администрированием, требуется личное присутствие администратора возле компьютера.

Состояние модуля TPM отображается в области Состояние консоли управления TPM.

Очистка модуля TPM

Очистка модуля TPM приводит к отмене права владения модулем TPM и отключению модуля TPM. Данное действие необходимо выполнять в том случае, если оснащенный модулем TPM компьютер необходимо утилизировать, или когда пароль владельца TPM утерян. Представленная ниже процедура проведет Вас через весь процесс очистки модуля TPM.

Примечание
Для очистки модуля TPM личное присутствие администратора не требуется.

Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.

Для очистки модуля TPM выполните следующие действия

  1. В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
  2. Введите tpm.msc в поле Открыть и нажмите клавишу Enter. Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.
  3. Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
    Внимание. Очистка модуля TPM приведет к тому, что все его настройки вернутся к заводским, а сам модуль будет отключен. При этом Вы потеряете все созданные ключи, а также данные, которые были защищены этими ключами.
  4. В меню Действия выберите команду Очистить TPM. Если модуль TPM отключен, выполните процедуру, описанную в разделе «Шаг 1. Инициализация модуля TPM», для повторной инициализации его перед очисткой.
  5. В диалоговом окне Очистите оборудование безопасности для доверенного платформенного модуля выберите метод ввода пароля и очистки модуля TPM:
    • Если у Вас имеется съемный носитель, на который Вы ранее сохранили пароль владельца TPM, вставьте его в считывающее устройство и нажмите Имеется архивный файл с паролем владельца TPM. В диалоговом окне Выберите файл резервной копии с паролем владельца доверенного платформенного модуля нажмите кнопку Обзор, чтобы выбрать файл с расширением .tpm, расположенный на съемном носителе, затем нажмите кнопку Открыть, после чего нажмите Очистить доверенный платформенный модуль.
    • В случае отсутствия съемного носителя с сохраненным паролем выберите Ввести вручную пароль владельца TPM. В появившемся диалоговом окне Введите свой пароль владельца доверенного платформенного модуля введите пароль (включая дефисы) и нажмите Очистить доверенный платформенный модуль.
    • Если Вы не знаете пароль владельца TPM, выберите Нет пароля владельца TPM и следуйте инструкциям, позволяющим очистить модуль TPM без ввода пароля.

Примечание. Для очистки модуля TPM и выполнения ограниченного числа задач, связанных с администрированием, без необходимости ввода пароля владельца TPM, требуется личное присутствие администратора возле компьютера.
Состояние модуля TPM отображается в поле Состояние консоли управления TPM.

Сценарий 3. Блокирование и разрешение использования команд TPM

Данный сценарий описывает процедуру блокирования и разрешения использования команд модуля TPM. Эту задачу локальные администраторы могут выполнять во время начальной конфигурации компьютера, оснащенного модулем TPM, или во время изменения его конфигурации. Командами модуля TPM можно управлять через дочерний узел консоли управления TPM, который называется Управление командами. Здесь администраторы могут просматривать команды, доступные для использования с модулем TPM. Они также могут блокировать и разрешать использование этих команд в пределах ограничений, накладываемых настройками групповой политики и настройками локального компьютера. Представленная ниже процедура проведет Вас через весь процесс блокирования и разрешения использования команд модуля TPM.

Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.

Для блокирования и разрешения использования команд TPM выполните следующие действия

  1. В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
  2. Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа
  3. Введите tpm.msc в поле Открыть, после чего нажмите клавишу Enter.
  4. В дереве консоли разверните узел Управление командами. При этом отобразится список команд TPM.
  5. Выберите из списка команду, которую Вы желаете заблокировать или разрешить использовать.
  6. В меню Действия нажмите Заблокировать выбранную команду или Разрешить выполнение выбранной команды в зависимости от потребности.

Примечание. Локальные администраторы не могут разрешать использовать команды TPM, заблокированные с помощью групповой политики. Команды TPM, указанные по умолчанию в списке заблокированных консоли MMC, также нельзя будет разрешить до тех пор, пока в групповую политику не будут внесены соответствующие изменения, отменяющие действие списка блокировки, заданного по умолчанию.

Регистрация ошибок и отзывы

Поскольку службы TPM предоставляют новые возможности в ОС Windows Server «Longhorn» и Windows Vista, мы очень заинтересованы в получении ваших отзывов о работе с ними, о возможных проблемах, с которыми Вам пришлось столкнуться, а также о полезности имеющейся документации.

Когда Вы обнаруживаете ошибки, следуйте инструкциям, приведенным на веб-узле Microsoft Connect. Мы также заинтересованы в получении ваших предложений и отзывов общего характера относительно служб TPM.

Ваши отзывы и общие вопросы относительно служб TPM Вы можете направлять на следующий адрес электронной почты: mailto:tpminfo@microsoft.com?subject=Windows Vista Beta 2 Trusted Platform Module Services Step by Step Guide.

Дополнительные источники информации

Указанные ниже источники предоставляют дополнительную информацию о службах TPM:

  • Для получения поддержки обратитесь на веб-узел Microsoft Connect.
  • Для получения доступа к группам новостей служб TPM следуйте указаниям, представленным на веб-узле Microsoft Connect .
  • Группа разработчиков программы шифрования дисков BitLocker поддерживает блог, расположенный на веб-узле Microsoft TechNet.

Поддержка в рамках специальной партнерской программы Technology Adoption Program

Если Вы являетесь бета-тестером и принимаете участие в специальной партнерской программе внедрения технологий Technology Adoption Program (TAP), Вы также можете обращаться за помощью к назначенному Вам представителю группы разработчиков корпорации Майкрософт.

Иcточник: (переведено с англ.) Microsoft Technet

zp8497586rq









Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]