Trusted Platform Module 管理最佳实践
推荐在企业环境中使用以下最佳实践管理 Trusted Platform Module (TPM)。
本文中的信息适用于 Windows Vista 和 Windows 7 操作系统。
On This Page
 | 购买 TPM 系统时需要关注的内容 |
| TPM BIOS 设置 |
| 初始化 TPM |
| 获得 TPM 的所有权 |
| 更改 TPM 所有者密码或 TPM 所有者授权数据 |
| 使用 TPM |
| 取消 TPM |
购买 TPM 系统时需要关注的内容
| • | 平台包含 TPM,并且通过了 Windows 7 Business 或 Consumer 类别的徽标计划测试,或者 Windows Vista Business 类别的徽标计划测试。Windows XP 徽标计划测试没有测试 TPM 功能,因此不能依赖该测试来确定平台的 TPM 是否能够在 Windows 中正常运行。要检查徽标计划测试结果,请访问http://winqual.microsoft.com/HCL/ 并搜索您的系统。要验证 Windows Vista 系统是否经过了 Business 类别的测试,请打开其 Windows Logo Verification Report 并确保 Subcategory 为 (Business) 或 (Business and Consumer)(包括括号在内)。 |
| • | TPM 遵守 Trusted Computing Group TPM 1.2 规范。 |
| • | TPM 从物理上对系统主板安全。 |
| • | TPM 的密钥是原始设备制造商 (OEM) 认可的密钥。 |
| • | 平台支持用户直接输入(非自动),以检验当向 TPM 提交重要更改时平台的物理表现。 |
TPM BIOS 设置
| • | 有些 BIOS 可以完全对操作系统 (OS) 隐藏 TPM。要使用 TPM,务必确保 TPM 对 OS 是可见的。 |
| • | 有些 BIOS 中包含跳过 TPM 中某些测试的选项。将 BIOS 选项配置为记录 TPM 中所有可用的测试。 |
| • | 有些 BIOS 允许阻止 OS 执行某些 Physical Presence 命令,如清除 TPM。确保已经针对您的企业对这些选项进行了相应的配置。 |
初始化 TPM
| • | 确保 TPM 的初始化是管理员组的成员完成的。 |
| • | 如果可能,在为终端用户部署平台之前,初始化 TPM。 |
| • | 如果要使用 TPM 同时部署多台计算机,请使用 TPM 初始化向导。 (http://technet.microsoft.com/en-us/library/cc749022.aspx)。 |
| • | 要同时部署多个平台或者要远程管理平台,请使用 Win32_Tpm 类中包含的调用 Windows Management Instrumentation (WMI) 方法的脚本 (http://msdn.microsoft.com/en-us/library/aa376484(VS.85).aspx)。 |
获得 TPM 的所有权
| • | 确保 TPM 的所有者是域管理员、本地管理员或单独特权帐户。(TPM 所有者是了解 TPM 所有者授权数据的某个人或某个工具。) |
| • | 确保 TPM 所有者是实际平台在财政上或物理上的所有者。 |
| • | 在 Active Directory 中设置和配置组策略需要在 Active Directory 中存储 TPM 恢复信息(如 TPM 所有者授权数据)。 |
| • | 如果要使用 TPM 一次部署多台计算机,请使用 TPM 初始化向导。 |
| • | 如果一次部署几个平台或远程管理平台,请使用调用 WMI 的脚本。 |
| • | 如果使用第三方工具,请确保将存储根密钥 (SRK) 授权设置为零。 |
| • | 在企业的所有机器上使用唯一的 TPM 所有者授权数据值。 |
| • | 在 Active Directory 中设置和配置组策略需要在 Active Directory 中存储 TPM 恢复信息(如 TPM 所有者授权数据)。如果使用 TPM 初始化向导,请选择随机生成 TPM 所有者密码的选项,而不是手动指定密码的选项。(这有助于减少目录攻击。) |
| • | 不要公开 TPM 所有者授权数据或 TPM 所有者密码。TPM 所有者密码或 TPM 所有者授权数据可以用来重置 TPM 反攻击逻辑,这会使对 TPM 授权值的暴力攻击变得更加容易。 |
更改 TPM 所有者密码或 TPM 所有者授权数据
| • | 如果每次更改少量数据,请使用 TPM 管理控制台管理单元更改 TPM 所有者密码。 |
| • | 如果一次要更改多个平台,请使用 Win32_Tpm 类中包含的 WMI 方法。 |
| • | 如果将组策略配置为在 Active Directory 中存储 TPM 所有者授权数据,那么请保持此策略设置,以便在 Active Directory 中的信息保持同步。 |
| • | 当更改所有者授权时,请备份所有的加密数据或者根据需要将密钥交第三方保管。如果密钥是可移动的,那么将它们移动到安全的存储区域,直到成功完成操作为止。然后,使用 Active Directory 重新同步新的授权值。 |
使用 TPM
| • | 如果较低权限的用户必须在要求所有者授权的 TPM 上执行操作,那么使用那个用户可以设置和使用代理权限的软件将是首选的解决方案。 |
| • | 只有管理员组成员和某些特殊系统帐户可以访问 TBS 接口。 |
| • | 不要在平台的本地存储媒体上存储密钥授权数据或所有者授权数据。 |
| • | 不要在平台上执行隐私敏感的、弃用的和已删除的 TPM 命令块(默认设置)。 |
取消 TPM
| • | 当取消 TPM 平台时,请在执行其他任何取消步骤之前恢复或备份所有的加密数据和密钥。 |
| • | 清除 TPM,使所有者授权数据和 SRK 无效。 |