TPM 和 Windows 功能
TPM 和 Windows 功能
Windows 11 的发布快速推动了 TPM 的普及率,从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间,在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护,但现在 TPM 已经作为一个必须启用的安全组件,包含在我们的 Modern Device 中。对于设备的最终用户,TPM 貌似并不直接与用户交互,但它却至关重要,例如 BitLocker 硬盘加密,Windows Hello 生物验证都需要用到 TPM,并且很多关键的安全功能也都会使用到 TPM,不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM,下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。
- 度量启动,需要 TPM,支持1.2和2.0,并依赖 UEFI 安全启动,微软建议使用 TPM 2.0,因为支持较新的加密算法。
- BitLocker,非必须 TPM,支持1.2和2.0,虽然 TPM 不是必须的,但微软建议基于 TPM 2.0 实施 BitLocker,因为性能更好,更安全可靠。
- 设备自动加密,需要 TPM,支持2.0,OEM 或 组织 IT 可以借助自动加密技术,预先配置 BitLocker,当条件满足时就会立刻启用 BitLokcer,无需等待或单独配置。
- Windows Defender System Guard(DRTM),需要 TPM,支持2.0。
- Credential Guard,非必须 TPM,支持1.2和2.0,与 DRTM 集成,利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。
- 设备运行状况证明(Device Health Attestation),必须 TPM,支持1.2和2.0,微软建议使用 TPM 2.0,因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。
- Windows Hello/Hello Business,非必须 TPM,支持1.2和2.0,AAD虽然加入了两个版本的支持,但需要带有键控哈希消息身份验证代码(Keyed-hash message authentication code - HMAC)和认可密钥(Endorsement Key - EK)证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。
- TPM 平台加密提供程序密钥存储提供程序,需要 TPM,支持1.2和2.0。
- 虚拟智能卡,需要 TPM,支持1.2和2.0。
- 证书存储,非必须 TPM,支持1.2和2.0,仅当证书存储在 TPM 中时才需要 TPM。
- Windows Autopilot,非必须 TPM,支持2.0,当使用自部署模式和预配部署模式(过去称之为 白手套模式)需要 TPM。
- SecureBIO,需要 TPM,支持2.0。
注意:TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持,具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI,并且必须禁用旧版和兼容性支持模块(CSM)选项。为了增强安全性,还应启用安全启动(Secure Boot)。
[Tips] 使用 MDM CSP TenantLockdown 策略将设备锁定到租户
使用 MDM CSP TenantLockdown 策略将设备锁定到租户
在 MDM CSP 中包含一个租户锁定的策略,即 TenantLockdown。从官方介绍可了解到 TenantLockdown 可以将设备锁定到租户,从而确保在发生意外或故意重置或擦除设备后,设备仍绑定到租户上。它的实现原理和逻辑还是比较容易理解的,借助 TenantLockdown 提供的 RequireNetworkInOOBE 策略,在值为 True 时,当设备在首次登录或重置后通过 OOBE 时,用户需要联网才能继续,而不是像过去那样有跳过的选项。这将强制用户在 OOBE 阶段进行联网,只要联网设备便会从 Internet 获取到注册状态,当设备之前是注册在 Autopilot 中时,后面的用户登录界面就会强制用户使用 M365 账号登录,从而在一定程度上保护了设备。
./Vendor/MSFT
TenantLockdown
----RequireNetworkInOOBE,布尔值:True 或 False
参考文档:https://learn.microsoft.com/en-us/windows/client-management/mdm/tenantlockdown-csp
有些网友可能会考虑到一些问题,例如不通过重置当前 Windows 实例,而是重新安装一遍 Windows,根据目前的测试 Windows 较新版本已经开始强制联网才能继续通过 OOBE;此外,TenantLockdown 还会向UEFI 中写入配置变量。对于企业中的普通用户来说,还是能够增加设备重用或非授权再用的难度,但要完全杜绝恐怕在管理技术上还有一段路要走。
另外,早先 Intune 的 Windows 限制测试中包含了“要求用户在设备安装期间连接到网络”的策略,但那时是可以通过断网手段来规避的,但随着策略逻辑的完善,对企业终端设备的管理会更加严谨可靠。
[Tips] HOWTO: 解决 Windows 11 下 Edge 提示你的连接不是专用连接问题
HOWTO: 解决 Windows 11 下 Edge 提示“你的连接不是专用连接”问题
前几天遇到一个问题,一台 Windows 11 笔记本电脑连接其家中的路由器,上网访问网站一直报“你的连接不是专用连接”,看起来像是网站证书的问题,如果继续访问大概率会提示“未检测到入户网线”。重启路由器无效,重置 Microsoft Edge 浏览器依旧无法解决。
排查家庭网络,发现入户光缆与GPON连接,然后室内网线连接至客厅电视旁的移动路由器,走的PPPoE拨号方式入网。为了解决室内Wi-Fi信号覆盖,移动路由下又连接了一个小米的AX6000路由器,通过DHCP方式从移动路由获取地址进行网络访问,其他手机和笔记本都与小米AX6000连接上网。
看起来这个网络结构也没有问题,并且手机访问网络并未出现前面的提示故障。只有 Windows 11 的电脑会发生。逐一排查 Edge 浏览器配置,一个功能引起了注意 - “使用安全的DNS指定如何查找网络的网络地址”,该选项被打开,并且配置为“使用当前服务提供商”。
随即将其禁用,并且打开小米AX6000管理界面,手动指定了DNS后,故障消失。初步怀疑是因为使用了安全DNS后发生了查询异常,或者被“拦截”。
