TPM 和 Windows 功能

[ 2023/02/25 21:26 | by gOxiA ]
| |

Windows_logo_horiz_blue_rgb

TPM 和 Windows 功能

TPM

        Windows 11 的发布快速推动了 TPM 的普及率,从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间,在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护,但现在 TPM 已经作为一个必须启用的安全组件,包含在我们的 Modern Device 中。对于设备的最终用户,TPM 貌似并不直接与用户交互,但它却至关重要,例如 BitLocker 硬盘加密,Windows Hello 生物验证都需要用到 TPM,并且很多关键的安全功能也都会使用到 TPM,不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM,下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。

  • 度量启动,需要 TPM,支持1.2和2.0,并依赖 UEFI 安全启动,微软建议使用 TPM 2.0,因为支持较新的加密算法。
  • BitLocker,非必须 TPM,支持1.2和2.0,虽然 TPM 不是必须的,但微软建议基于 TPM 2.0 实施 BitLocker,因为性能更好,更安全可靠。
  • 设备自动加密,需要 TPM,支持2.0,OEM 或 组织 IT 可以借助自动加密技术,预先配置 BitLocker,当条件满足时就会立刻启用 BitLokcer,无需等待或单独配置。
  • Windows Defender System Guard(DRTM),需要 TPM,支持2.0。
  • Credential Guard,非必须 TPM,支持1.2和2.0,与 DRTM 集成,利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。
  • 设备运行状况证明(Device Health Attestation),必须 TPM,支持1.2和2.0,微软建议使用 TPM 2.0,因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。
  • Windows Hello/Hello Business,非必须 TPM,支持1.2和2.0,AAD虽然加入了两个版本的支持,但需要带有键控哈希消息身份验证代码(Keyed-hash message authentication code - HMAC)和认可密钥(Endorsement Key - EK)证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。
  • TPM 平台加密提供程序密钥存储提供程序,需要 TPM,支持1.2和2.0。
  • 虚拟智能卡,需要 TPM,支持1.2和2.0。
  • 证书存储,非必须 TPM,支持1.2和2.0,仅当证书存储在 TPM 中时才需要 TPM。
  • Windows Autopilot,非必须 TPM,支持2.0,当使用自部署模式和预配部署模式(过去称之为 白手套模式)需要 TPM。
  • SecureBIO,需要 TPM,支持2.0。


        注意:TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持,具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI,并且必须禁用旧版和兼容性支持模块(CSM)选项。为了增强安全性,还应启用安全启动(Secure Boot)。

Windows Client | 评论(0) | 引用(0) | 阅读(4189)
发表评论
昵称 [注册]
密码 游客无需密码
网址
电邮
打开HTML 打开UBB 打开表情 隐藏 记住我