Visão geral da tecnologia Trusted Platform Module
Este artigo descreve o Trusted Platform Module (TPM) e como o Windows o utiliza para controlo de acesso e autenticação.
Descrição do recurso
A tecnologia Trusted Platform Module (TPM) foi concebida para fornecer funções relacionadas com segurança e baseadas em hardware. Um chip TPM é um processador de criptografia seguro projetado para executar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a violações, e um software mal-intencionado não pode violar as funções de segurança do TPM. Algumas das vantagens da utilização da tecnologia TPM são:
- Gerar, armazenar e limitar o uso de chaves de criptografia.
- Utilize-a para autenticação de dispositivos com a chave RSA exclusiva do TPM, que é gravada no chip.
- Ajude a garantir a integridade da plataforma ao efetuar e armazenar medidas de segurança do processo de arranque.
As funções mais comuns do TPM são para medições de integridade do sistema e uso e criação de chaves. Durante o processo de inicialização de um sistema, o código de inicialização que é carregado (incluindo firmware e componentes do sistema operacional) pode ser medido e gravado no TPM. As medidas de integridade podem ser usadas como prova de como um sistema foi iniciado e como garantia de que uma chave baseada no TPM só foi usada com o software correto para inicializar o sistema.
As chaves baseadas em TPM podem ser configuradas de várias formas. Uma opção é tornar uma chave baseada no TPM indisponível fora do TPM. Isso é bom para reduzir ataques de phishing porque impede que a chave seja copiada e usada sem o TPM. As chaves baseadas no TPM também podem ser configuradas para exigir um valor de autorização de uso. Se ocorrerem demasiadas estimativas de autorização incorretas, o TPM ativa a lógica de ataque do dicionário e impede novas estimativas de valor de autorização.
Versões diferentes do TPM estão definidas nas especificações pelo TCG (Trusted Computing Group). Para obter mais informações, veja o Web site do TCG.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o Trusted Platform Module (TPM):
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
Os direitos de licença do Trusted Platform Module (TPM) são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Inicialização automática do TPM com o Windows
Desde o Windows 10 e o Windows 11, o sistema operacional é inicializado automaticamente e assume propriedade do TPM. Isso significa que, na maioria dos casos, recomendamos que você evite configurar o TPM por meio do console de gerenciamento do TPM, TPM.msc. Há algumas exceções, principalmente relacionadas à redefinição ou à realização de uma instalação limpa em um computador. Para obter mais informações, confira Limpar todas as chaves do TPM.
Observação
Não estamos mais desenvolvendo ativamente o console de gerenciamento do TPM, desde o Windows Server 2019 e o Windows 10, versão 1809.
Em determinados cenários corporativos específicos limitados ao Windows 10, versões 1507 e 1511, a Política de Grupo pode ser usada para fazer backup do valor de autorização do proprietário do TPM no Active Directory. Como o estado do TPM é preservado em todas as instalações de sistema operacional, essas informações do TPM são armazenadas em um local separado dos objetos do computador no Active Directory.
Aplicações práticas
É possível instalar ou criar certificados em computadores usando o TPM. Depois de um computador ser aprovisionado, a chave privada RSA de um certificado está vinculada ao TPM e não pode ser exportada. O TPM também pode ser usado como um substituto para cartões inteligentes, o que reduz os custos associados à criação e distribuição de cartões inteligentes.
O provisionamento automatizado no TPM reduz o custo de implantação do TPM em uma empresa. As novas APIs para gerenciamento do TPM podem determinar se as ações de provisionamento do TPM exigem a presença física de um técnico de serviço para aprovar solicitações de alteração de estado do TPM durante o processo de inicialização.
O software antimalware pode utilizar as medições de arranque do estado de início do sistema operativo para provar a integridade de um computador com o Windows. Estas medidas incluem o lançamento do Hyper-V para testar que os datacenters que utilizam a virtualização não estão a executar hipervisores não fidedignos. Com o Desbloqueio pela rede do BitLocker, os administradores de TI podem enviar por push uma atualização sem a preocupação de que um computador está esperando a entrada do PIN.
O TPM tem diversas configurações de Política de Grupo que podem ser úteis em determinados cenários corporativos. Para obter mais informações, consulte Configurações da Política de Grupo do TPM.
Atestado de integridade de dispositivo
O atestado de integridade de dispositivo permite que as empresas tenham confiança nos componentes de hardware e software de um dispositivo gerenciado. Com o atestado de estado de funcionamento do dispositivo, pode configurar um servidor MDM para consultar um serviço de atestado de estado de funcionamento que permite ou nega o acesso de um dispositivo gerido a um recurso seguro.
Alguns problemas de segurança que pode marcar nos dispositivos incluem:
- A Prevenção de Execução de Dados é compatível e está habilitada?
- A Criptografia de Unidade de Disco BitLocker é compatível e está habilitada?
- A Inicialização Segura é compatível e está habilitada?
Observação
O Windows suporta o Atestado de Estado de Funcionamento do Dispositivo com o TPM 2.0. O TPM 2.0 requer firmware UEFI. Um dispositivo com o BIOS legado e o TPM 2.0 não funcionará conforme esperado.
Versões com suporte para atestado de integridade do dispositivo
| Versão do TPM | Windows 11 | Windows 10 | Windows Server 2022 | Windows Server 2019 | Windows Server 2016 |
|---|---|---|---|---|---|
| TPM 1.2 | >= ver 1607 | Sim | >= ver 1607 | ||
| TPM 2.0 | Sim | Sim | Sim | Sim | Sim |