В данном пошаговом руководстве предоставляются необходимые инструкции по использованию служб доверенного платформенного модуля (Trusted Platform Module, TPM) в тестовой среде.
Что такое службы TPM?
Службы TPM представляют собой набор новых возможностей, имеющихся в ОС Microsoft ®Windows Vista™ и Windows Server® «Longhorn». Эти службы используются для управления модулем TPM, обеспечивающим безопасность вашего компьютера. Архитектура служб TPM создает основу для взаимодействия с аппаратными средствами защиты путем предоставления совместного доступа к модулю TPM на уровне приложений.
Что такое модуль TPM?
Доверенный платформенный модуль (TPM) – это микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования. Модуль TPM обычно установлен на материнской плате настольного или переносного компьютера и осуществляет взаимодействие с остальными компонентами системы посредством системной шины.
Компьютеры, оснащенные модулем TPM, имеют возможность создавать криптографические ключи и зашифровывать их таким образом, что они могут быть расшифрованы только модулем TPM. Данный процесс, часто называемый «сокрытием» ключа («wrapping» key) или «привязкой» ключа («binding» key), помогает защитить ключ от раскрытия. В каждом модуле TPM есть главный скрытый ключ, называемый ключом корневого хранилища (Storage Root Key, SRK), который хранится в самом модуле TPM. Закрытая часть ключа, созданная в TPM, никогда не станет доступна любому другому компоненту системы, программному обеспечению, процессу или пользователю.
Компьютеры, оснащенные модулем TPM, также могут создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. Такой тип ключа может быть расшифрован только в том случае, если характеристика платформы, на которой его пытаются расшифровать, совпадает с той, на которой этот ключ создавался. Данный процесс называется «запечатыванием» ключа в модуле TPM. Дешифрование его называется «распечатыванием» («unsealing»). Модуль TPM также может запечатывать и распечатывать данные, созданные вне модуля TPM. При использовании запечатанного ключа и такого программного обеспечения, как BitLocker™ Drive Encryption, Вы можете обеспечить блокировку данных до тех пор, пока они не будут перенесены на компьютер с подходящей аппаратной или программной конфигурацией.
При использовании модуля TPM закрытая часть пар ключей хранится вне памяти, доступ к которой имеет операционная система. Ключи могут быть запечатаны модулем TPM, при этом точное решение о том, является ли система надежной, будет принято до того, как ключи будут распечатаны и готовы к использованию. Поскольку модуль TPM для обработки инструкций использует собственное встроенное программное обеспечение и логические схемы, его работа не зависит от операционной системы. Благодаря этому обеспечивается его защита от возможных уязвимостей внешнего программного обеспечения.
Для кого предназначено данное руководство?
Данное руководство предназначено для:
- ИТ-специалистов, занимающихся планированием и анализом информационной инфраструктуры, оценивающих функциональные возможности продукта.
- Специалистов, осуществляющих раннее внедрение продукта.
- Архитекторов безопасности, ответственных за реализацию концепции trustworthy computing.
Наверх страницы
В этом руководстве
Требования для использования служб TPM
Основные сценарии использования служб TPM
Сценарий 1. Инициализация модуля TPM
Сценарий 2. Выключение и очистка модуля TPM
Сценарий 3. Блокирование и разрешение использования команд TPM
Регистрация ошибок и отзывы
Дополнительные источники информации
Требования для использования служб TPM
Мы рекомендуем Вам вначале выполнить в тестовой среде все шаги, описанные в данном руководстве. Данное руководство следует рассматривать как отдельно взятый документ. Его не следует рассматривать как всеобъемлющее руководство по развертыванию определенных возможностей Windows Vista или Windows Server «Longhorn» и пользоваться им, не прибегая к сопроводительной документации, представленной в разделе «Дополнительные источники информации».
Подготовка тестовой среды для изучения работы служб TPM
Для изучения работы служб TPM необходима тестовая среда, которая состоит из компьютера, подключенного к изолированной сети через обычный концентратор или коммутатор второго уровня. Компьютер должен работать под управлением операционной системы Windows Vista и быть оснащен совместимым модулем TPM (версии 1.2), а также BIOS, соответствующей спецификации Trusted Computing Group (TCG). Рекомендуется также использовать портативный USB-накопитель. При настройке сети для тестовой среды следует использовать частный диапазон IP-адресов.
Наверх страницы
Основные сценарии использования служб TPM
В данном руководстве рассматриваются следующие сценарии использования служб TPM:
Сценарий 1. Инициализация модуля TPM
Сценарий 2. Выключение и очистка модуля TPM
Сценарий 3. Блокирование и разрешение использования команд TPM
Примечание
Три сценария, представленные в данном руководстве, призваны помочь администратору в освоении возможностей, предоставляемых службами TPM в ОС Windows Vista. В данных сценариях содержится основная информация и описываются процедуры, необходимые для того, чтобы администраторы могли начать процесс конфигурирования и развертывания в своих сетях компьютеров, оснащенных модулями TPM. Информация, а также процедуры, необходимые для дополнительной или расширенной настройки служб TPM, не включены в данное руководство.
Сценарий 1. Инициализация модуля TPM
Данный сценарий подробно описывает процедуру инициализации модуля TPM в компьютере. Процесс инициализации включает в себя включение модуля TPM и назначение его владельца. Данный сценарий написан для локальных администраторов, ответственных за настройку компьютеров, оснащенных модулем TPM.
Несмотря на то, что в Windows Vista поддерживается удаленная инициализация модуля TPM, обычно для выполнения этой операции требуется личное присутствие администратора возле компьютера. Если компьютер поставлен с уже инициализированным модулем TPM, личное присутствие не требуется. Информация об удаленной инициализации, а также необходимые для этого процедуры не включены в данное руководство. Службы TPM задействуют WMI-класс, который позволяет выполнять описанные в данном разделе процедуры с использованием сценариев. Информация о написании сценариев для выполнения указанных задач также не включена в данное руководство.
Шаги по инициализации модуля TPM
Для инициализации модуля TPM, установленного в Вашем компьютере, необходимо выполнить следующие шаги:
Шаг 1. Инициализация модуля TPM
Шаг 2. Назначение владельца модуля TPM
Шаг 1. Инициализация модуля TPM
Чтобы модуль TPM мог обеспечивать защиту вашего компьютера, его необходимо вначале инициализировать. В этом разделе описывается процедура инициализации модуля TPM, установленного в компьютере.
Компьютеры, соответствующие требованиям ОС Windows Vista, оснащены встроенной в BIOS функциональной возможностью, упрощающей инициализацию модуля TPM посредством мастера инициализации TPM. При запуске мастера инициализации TPM Вы можете определить, был ли модуль TPM, которым оснащен компьютер, инициализирован, или нет.
Описанная ниже процедура проведет Вас по всем шагам инициализации модуля TPM с помощью мастера инициализации TPM.
Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами администратора.
Для запуска мастера инициализации TPM и инициализации модуля TPM выполните следующие действия:
В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
Введите tpm.msc в поле Открыть, после чего нажмите клавишу Enter.
Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.
В меню Действие выберите команду Инициализировать TPM. При этом запустится мастер инициализации TPM.
Если модуль TPM отключен, мастер инициализации TPM отобразит диалоговое окно Включите оборудование безопасности для доверенного платформенного модуля. В этом диалоговом окне представлены инструкции по инициализации модуля TPM.
В случае, если модуль TPM уже был инициализирован, мастер инициализации TPM отобразит диалоговое окно Создайте пароль владельца доверенного платформенного модуля. После этого переходите к разделу «Шаг 2. Назначение владельца модуля TPM».
Если мастер инициализации TPM определит, что BIOS не соответствует требованиям ОС Windows Vista, Вам не удастся продолжить работу с мастером, при этом Вам будет предложено обратиться к документации к Вашему компьютеру для получения информации о процессе инициализации модуля TPM.
Нажмите кнопку Перезагрузить компьютер, после чего следуйте указаниям на экране, которые будет выдавать BIOS.
Примечание. Сообщения, выводимые BIOS, а также необходимые действия пользователя могут отличаться в зависимости от производителя оборудования.
После перезагрузки на экране будет отображено уведомление, для ответа на которое требуется личное присутствие пользователя. Это гарантирует, что модуль TPM пытается инициализировать пользователь, а не вредоносное программное обеспечение.
Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
Щелкните Автоматически подготовить модуль TPM для назначения владельца (рекомендуется).
Далее выполните действия, описанные в шаге 2.
Шаг 2. Назначения владельца модуля TPM
Перед тем, как модуль TPM можно будет использовать для обеспечения безопасности вашего компьютера, необходимо назначить владельца этого модуля. При назначении владельца модуля TPM Вам необходимо указать пароль. Пароль является гарантией того, что только авторизованный владелец модуля TPM может получить к нему доступ и управлять им. Пароль также используется для отключения модуля TPM в том случае, если Вы больше не хотите его использовать, а также для очистки модуля TPM в случае, если компьютер подготавливается к утилизации.
Следующая процедура позволит Вам стать владельцем модуля TPM.
Описанные ниже шаги проведут Вас через процедуру назначения владельца модуля TPM с использованием мастера инициализации TPM.
Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Для назначения владельца модуля TPM выполните следующие действия
Если Вы уже инициализировали модуль TPM, запустите мастер инициализации TPM. Если Вам необходимо узнать, как это делается, обратитесь к разделу «Шаг 1. Инициализация модуля TPM», представленного ранее в этом руководстве.
В диалоговом окне Создайте пароль владельца доверенного платформенного модуля выберите Автоматически создать пароль (рекомендуется).
В диалоговом окне Сохранить Ваш пароль владельца доверенного платформенного модуля нажмите кнопку Сохранить пароль.
В диалоговом окне Сохранить как выберите место сохранения пароля и нажмите кнопку Сохранить. Пароль сохранится в файле с названием «имя_компьютера.tpm».
Важно. Настоятельно рекомендуется сохранять пароль владельца TPM на съемном носителе.
Если Вы хотите иметь печатную копию пароля, нажмите кнопку Напечатать пароль.
Важно. Мы настоятельно рекомендуем распечатать пароль владельца TPM и хранить его в надежном месте.
Нажмите кнопку Инициализировать.
Примечание. Для завершения процесса инициализации модуля TPM может потребоваться несколько минут.
Нажмите кнопку Закрыть.
Внимание. Не потеряйте Ваш пароль. В случае потери пароля Вы не сможете производить никаких административных изменений до тех пор, пока не очистите модуль TPM.
Наверх страницы
Сценарий 2. Выключение и очистка модуля TPM
В данном сценарии рассматриваются две распространенные задачи, с которыми придется столкнуться администраторам во время изменения конфигурации или утилизации компьютера, оснащенного модулем TPM. Этими задачами являются выключение модуля TPM и его очистка.
Выключение модуля TPM
Некоторые администраторы могут решить, что не на каждом компьютере в их сети, оснащенном модулем TPM, необходима дополнительная защита, которую обеспечивает этот модуль. В такой ситуации рекомендуется убедиться в том, что модули TPM на соответствующих компьютерах отключены. Представленная ниже процедура проведет Вас через весь процесс выключения модуля TPM.
Примечание
Для выключения модуля TPM личное присутствие администратора не требуется.
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Для выключения модуля TPM выполните следующие действия
В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
Введите tpm.msc в поле Открыть и нажмите клавишу Enter. Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.
Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
В меню Действия выберите команду Отключить TPM.
В диалоговом окне Выключите оборудование безопасности для доверенного платформенного модуля выберите метод ввода пароля и выключения модуля TPM:
Если у Вас имеется съемный носитель, на который Вы ранее сохранили пароль владельца модуля TPM, вставьте его в считывающее устройство и нажмите Имеется архивный файл с паролем владельца TPM. В диалоговом окне Выберите файл резервной копии с паролем владельца доверенного платформенного модуля нажмите кнопку Обзор, чтобы выбрать файл с расширением .tpm, расположенный на съемном носителе, затем нажмите кнопку Открыть, после чего нажмите кнопку Отключить доверенный платформенный модуль.
В случае отсутствия съемного носителя с сохраненным паролем выберите Ввести вручную пароль владельца TPM. В появившемся диалоговом окне Введите свой пароль владельца доверенного платформенного модуля введите Ваш пароль (включая дефисы) и нажмите кнопку Отключить доверенный платформенный модуль.
Если Вы не знаете пароль владельца TPM, выберите Нет пароля владельца TPM и следуйте инструкциям, позволяющим выключить модуль TPM без ввода пароля.
Примечание. Для выключения модуля TPM без ввода пароля владельца TPM и выполнения ограниченного числа задач, связанных с администрированием, требуется личное присутствие администратора возле компьютера.
Состояние модуля TPM отображается в области Состояние консоли управления TPM.
Очистка модуля TPM
Очистка модуля TPM приводит к отмене права владения модулем TPM и отключению модуля TPM. Данное действие необходимо выполнять в том случае, если оснащенный модулем TPM компьютер необходимо утилизировать, или когда пароль владельца TPM утерян. Представленная ниже процедура проведет Вас через весь процесс очистки модуля TPM.
Примечание
Для очистки модуля TPM личное присутствие администратора не требуется.
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Для очистки модуля TPM выполните следующие действия
В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
Введите tpm.msc в поле Открыть и нажмите клавишу Enter. Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.
Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа.
Внимание. Очистка модуля TPM приведет к тому, что все его настройки вернутся к заводским, а сам модуль будет отключен. При этом Вы потеряете все созданные ключи, а также данные, которые были защищены этими ключами.
В меню Действия выберите команду Очистить TPM. Если модуль TPM отключен, выполните процедуру, описанную в разделе «Шаг 1. Инициализация модуля TPM», для повторной инициализации его перед очисткой.
В диалоговом окне Очистите оборудование безопасности для доверенного платформенного модуля выберите метод ввода пароля и очистки модуля TPM:
Если у Вас имеется съемный носитель, на который Вы ранее сохранили пароль владельца TPM, вставьте его в считывающее устройство и нажмите Имеется архивный файл с паролем владельца TPM. В диалоговом окне Выберите файл резервной копии с паролем владельца доверенного платформенного модуля нажмите кнопку Обзор, чтобы выбрать файл с расширением .tpm, расположенный на съемном носителе, затем нажмите кнопку Открыть, после чего нажмите Очистить доверенный платформенный модуль.
В случае отсутствия съемного носителя с сохраненным паролем выберите Ввести вручную пароль владельца TPM. В появившемся диалоговом окне Введите свой пароль владельца доверенного платформенного модуля введите пароль (включая дефисы) и нажмите Очистить доверенный платформенный модуль.
Если Вы не знаете пароль владельца TPM, выберите Нет пароля владельца TPM и следуйте инструкциям, позволяющим очистить модуль TPM без ввода пароля.
Примечание. Для очистки модуля TPM и выполнения ограниченного числа задач, связанных с администрированием, без необходимости ввода пароля владельца TPM, требуется личное присутствие администратора возле компьютера.
Состояние модуля TPM отображается в поле Состояние консоли управления TPM.
Наверх страницы
Сценарий 3. Блокирование и разрешение использования команд TPM
Данный сценарий описывает процедуру блокирования и разрешения использования команд модуля TPM. Эту задачу локальные администраторы могут выполнять во время начальной конфигурации компьютера, оснащенного модулем TPM, или во время изменения его конфигурации. Командами модуля TPM можно управлять через дочерний узел консоли управления TPM, который называется Управление командами. Здесь администраторы могут просматривать команды, доступные для использования с модулем TPM. Они также могут блокировать и разрешать использование этих команд в пределах ограничений, накладываемых настройками групповой политики и настройками локального компьютера. Представленная ниже процедура проведет Вас через весь процесс блокирования и разрешения использования команд модуля TPM.
Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.
Для блокирования и разрешения использования команд TPM выполните следующие действия
В меню Пуск выберите пункт Все программы, затем Стандартные, после чего Выполнить.
Если отобразится диалоговое окно Контроль учетных записей пользователей, убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить. Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации», расположенному в конце данного документа
Введите tpm.msc в поле Открыть, после чего нажмите клавишу Enter.
В дереве консоли разверните узел Управление командами. При этом отобразится список команд TPM.
Выберите из списка команду, которую Вы желаете заблокировать или разрешить использовать.
В меню Действия нажмите Заблокировать выбранную команду или Разрешить выполнение выбранной команды в зависимости от потребности.
Примечание. Локальные администраторы не могут разрешать использовать команды TPM, заблокированные с помощью групповой политики. Команды TPM, указанные по умолчанию в списке заблокированных консоли MMC, также нельзя будет разрешить до тех пор, пока в групповую политику не будут внесены соответствующие изменения, отменяющие действие списка блокировки, заданного по умолчанию.
Наверх страницы
Регистрация ошибок и отзывы
Поскольку службы TPM предоставляют новые возможности в ОС Windows Server "Longhorn" и Windows Vista, мы очень заинтересованы в получении ваших отзывов о работе с ними, о возможных проблемах, с которыми Вам пришлось столкнуться, а также о полезности имеющейся документации.
Когда Вы обнаруживаете ошибки, следуйте инструкциям, приведенным на веб-узле Microsoft Connect. Мы также заинтересованы в получении ваших предложений и отзывов общего характера относительно служб TPM.
Ваши отзывы и общие вопросы относительно служб TPM Вы можете направлять на следующий адрес электронной почты: mailto:tpminfo@microsoft.com?subject=Windows Vista Beta 2 Trusted Platform Module Services Step by Step Guide.
Наверх страницы
Дополнительные источники информации
Указанные ниже источники предоставляют дополнительную информацию о службах TPM:
Для получения поддержки обратитесь на веб-узел Microsoft Connect.
Для получения доступа к группам новостей служб TPM следуйте указаниям, представленным на веб-узле Microsoft Connect .
Группа разработчиков программы шифрования дисков BitLocker поддерживает блог, расположенный на веб-узле Microsoft TechNet.
Поддержка в рамках специальной партнерской программы Technology Adoption Program
Если Вы являетесь бета-тестером и принимаете участие в специальной партнерской программе внедрения технологий Technology Adoption Program (TAP), Вы также можете обращаться за помощью к назначенному Вам представителю группы разработчиков корпорации Майкрософт.
Наверх страницы
Обсуждение статьи на форуме