Co to jest moduł zabezpieczeń TPM?

Jeśli komputer jest wyposażony w moduł TPM, funkcja BitLocker umożliwia zwiększenie bezpieczeństwa przez połączenie modułu TPM z kluczem uruchomienia. W przypadku używania klucza uruchomienia w połączeniu z modułem TPM cześć klucza szyfrowania używana do odblokowania dysku jest przechowywana i zapieczętowywana przez moduł TPM, a druga część tego klucza jest przechowywana na dysku flash USB. Dysk flash USB zawierający wymagane informacje na temat klucza jest nazywany kluczem uruchomienia. Do uzyskania dostępu do dysku chronionego funkcją BitLocker są wymagane zarówno informacje przechowywane w module TPM, jak i klucz uruchomienia.

Kreatora konfiguracji funkcji BitLocker można skonfigurować przy użyciu ustawień zasad grupy w taki sposób, aby umożliwiał utworzenie klucza uruchomienia podczas szyfrowania dysku. Jeśli funkcja BitLocker zostanie skonfigurowana z tą opcją, sprzętowy moduł zabezpieczający TPM nie będzie mógł zwolnić kluczy szyfrowania podczas uruchamiania komputera lub wznawiania jego pracy ze stanu hibernacji, dopóki nie zostanie włożony prawidłowy klucz uruchomienia.

Ponieważ klucz uruchomienia musi być obecny przy każdym ponownym uruchomieniu oraz przy wznawianiu pracy ze stanu hibernacji, włączenie opcji klucza może być niepożądane w przypadkach, gdy interwencja użytkownika przy każdym ponownym uruchomieniu jest niemożliwa.
 

Co to jest moduł zabezpieczeń TPM?

Moduł TPM (Trusted Platform Module) to mikroukład umożliwiający korzystanie ze wszystkich zaawansowanych funkcji zabezpieczeń, takich jak szyfrowanie dysków funkcją BitLocker. Moduł TPM jest wbudowany w wielu komputerach. Sprawdź informacje dołączone do komputera, aby przekonać się, czy jest on wyposażony w moduł TPM.

Komputer z modułem TPM może tworzyć klucze szyfrowania, które mogą zostać odszyfrowane tylko za pomocą tego samego modułu TPM. Moduł TPM ukrywa klucze szyfrowania za pomocą własnego głównego klucza magazynu przechowywanego w obrębie modułu. Przechowywanie klucza głównego magazynowania danych w mikroukładzie TPM, a nie na dysku twardym, zapewnia lepszą ochronę przed atakami mającymi na celu ujawnienie kluczy szyfrowania.

Podczas uruchamiania komputera z modułem TPM i włączoną funkcją BitLocker moduł TPM sprawdza, czy w systemie operacyjnym istnieją warunki, które mogą wskazywać na zagrożenie bezpieczeństwa. Do warunków tych należą między innymi zmiany w systemie podstawowych operacji wejścia/wyjścia (BIOS) lub innych składnikach uruchomieniowych oraz oznaki, że dysk twardy został wyjęty z jednego komputera i jest uruchamiany w innym. Jeśli moduł TPM wykryje jedno z tych zagrożeń, funkcja BitLocker blokuje partycję systemową do czasu wprowadzenia hasła odzyskiwania.

Podczas pierwszego inicjowania modułu TPM jest tworzone hasło właściciela modułu TPM. Użycie tego hasła pomaga zagwarantować, że tylko autoryzowany właściciel może uzyskać dostęp do modułu TPM w komputerze i nim zarządzać.