TPM-Schlüssel und wie man ihn in Windows 11 sichert

Was passiert, wenn Sie den TPM-Schlüssel verlieren? Hier erfahren Sie, wie Sie den TPM-Schlüssel unter Windows 11 sichern können.

Ein Trusted Platform Module (TPM) ist ein Mikroprozessor, der für die Durchführung grundlegender Sicherheitsoperationen, insbesondere von Verschlüsselungsschlüsseln, ausgelegt ist. Das TPM befindet sich auf der Hauptplatine des Computers und ist über den Hardware-Bus mit anderen Systemen verbunden.

Ein TPM-fähiger Computer kann einen kryptografischen Schlüssel generieren und ihn so verschlüsseln, dass er nur durch das TPM entschlüsselt werden kann. Diese Methode, die auch als „Wrapping“ oder „Binding“ bezeichnet wird, kann dazu beitragen, den Schlüssel vor Offenlegung zu schützen.

Jeder TPM-Chip verfügt über ein RSA-Schlüsselpaar, den so genannten Endorsement Key (EK). Die Paare sind in Halbleitern gespeichert und für Software nicht zugänglich. Wenn ein Benutzer oder Administrator das System überwältigt, wird ein Storage Root Key erstellt. Das TPM generiert dieses Schlüsselpaar auf der Grundlage des EK und des Passworts, das der Eigentümer angibt.

tpm 2.0 key

Der geheime Teil des Speicherstammschlüssels oder des vom TPM generierten Bescheinigungsschlüssels wird niemals einer anderen Komponente, einem Programm, einem Prozess, einem Benutzer oder einem Gerät offengelegt.

Da es sich um ein hardwarebasiertes Modul handelt, kann es von Malware nicht durch Standard-Softwaremethoden verändert werden. Dadurch wird der TPM-Chip zu einem hardwarebasierten „Root-of-Trust“, auf den sich das Betriebssystem immer verlassen kann.

Vorteile von TPM

  • Erstellen, Speichern und Einschränken der Verwendung von kryptografischen Schlüsseln.
  • Verwenden Sie Metriken, die Änderungen an der Konfiguration erkennen können, um die Integrität der Plattform sicherzustellen.
  • Verwenden Sie TPM-RSA-Schlüssel für die Authentifizierung von Plattformgeräten.
  • Reduziert das Risiko von Firmware-Angriffen, Ransomware und Phishing.
  • Die DRM-Technologie kann die Rechte an digitalen Medien schützen.
  • Sicherstellen, dass die Softwarelizenzen sicher sind.

Was kann TPM leisten?

  • Windows Hello ist ein biometrisches Identifizierungs- und Zugangskontrollwerkzeug, das mit TPM-aktivierten Fingerabdruckscannern, Iris-Scannern und Gesichtserkennungstechnologie funktioniert.
  • Zur Abwehr von Brute-Force-Angriffen, bei denen versucht wird, in ein passwortgeschütztes Computernetzwerk einzudringen, indem jedes Wort im Wörterbuch als Passwort eingegeben wird.
  • Virtuelle Smartcards basieren auf dem TPM zur Authentifizierung externer Ressourcen.
  • Boot hilft bei der Erkennung von Malware während des Windows-Startvorgangs und seiner Konfigurationseinstellungen.
  • Analyse und Bestimmung des Gerätezustands durch Erstellung von AIK-Zertifikaten für TPM.
  • Schutz von Anmeldeinformationen bei virtualisierungsbasierter Sicherheit. In diesem Fall wird das TPM zum Schutz des Schlüssels verwendet.

TPM: Diskret, integriert oder Firmware?

TPM kann auf eine von drei Arten implementiert werden:

  • Diskret: Das Chip-TPM als Komponente unterscheidet sich durch sein Halbleitergehäuse.
  • Integriert: Ein TPM, das in ein oder mehrere gemeinsame Halbleitergehäuse eingebettet, aber konzeptionell unabhängig von anderen Komponenten ist.
  • Firmware: Ein TPM, bei dem das TPM in der Firmware auf einer Allzweck-Recheneinheit im vertrauenswürdigen Ausführungsmodus ausgeführt wird.

Was passiert, wenn der TPM-Chip ausfällt oder kaputt geht?

  • Wenn das TPM beschädigt oder unerreichbar wird, schlägt jede Kryptografie fehl, die sich auf den im TPM gespeicherten Schlüssel stützt.
  • Alle Daten, die mit einem TPM-Schlüssel verschlüsselt sind und nicht gesichert werden, gehen verloren, wie z. B. Ihr verschlüsseltes Laufwerk.
  • Jegliches Vertrauen in die Plattform geht verloren, zum Beispiel bei der Fernbescheinigung.

Sichern von TPM-Schlüsseln in Windows 11

Der erste Schritt besteht darin, sicherzustellen, dass Sie über einen Active Directory-Domänendienst verfügen, der per Fernzugriff verwaltet werden kann. Sie können einen erstellen, wenn Sie noch keinen haben.

Sie können einen Active Directory Domain Services (AD DS)-Server verwenden, um zu gewährleisten, dass nur zugelassene Benutzer über ein zentrales Verwaltungs-Dashboard Zugriff auf diese wichtigen Informationen haben.

Wenn Systemadministratoren einen alten Computer wiederverwenden und das TPM auf die Werkseinstellungen zurücksetzen müssen, können sie die Sicherung nutzen, um das TPM auf dem lokalen Computer mit AD DS ferngesteuert einzustellen. Gespeicherte Daten können auch in einem Wiederherstellungszustand verwendet werden, wenn der Besitzer sein TPM-Passwort vergessen hat.

Führen Sie die folgenden Schritte aus, um TPM-Eigentümerinformationen mithilfe der Gruppenrichtlinieneinstellung in AD DS zu sichern:

  1. Führen Sie das Dialogfeld „Run„, können Sie die Tasten (WIN + R) verwenden.
  2. Geben Sie „gpedit.msc“ in das Suchfeld ein und klicken Sie auf die Schaltfläche OK.
  3. Navigieren Sie zu „Computer Configuration\Administrative Templates\System\Trusted Platform Module Services„.
  4. Doppelklicken Sie im rechten Fensterbereich auf „Turn on TPM backup to Active Directory Domain Services„.
  5. Wählen Sie die Option „Enabled“.
  6. Klicken Sie auf die Schaltfläche OK, um die Änderungen zu speichern.

Neueste Artikel