O que acontecerá se você perder a chave TPM? Veja como fazer o backup da chave TPM no Windows 11.
Um Trusted Platform Module (TPM) é um microprocessador projetado para executar operações básicas de segurança, especialmente chaves de criptografia. O TPM é colocado na placa-mãe do computador e conectado a outros sistemas por meio do barramento de hardware.
Um computador habilitado para TPM pode gerar uma chave criptográfica e criptografá-la de modo que só possa ser decodificada pelo TPM. Esse método, também conhecido como empacotamento ou vinculação de uma chave, pode ajudar a protegê-la contra divulgação.
Cada chip TPM tem um par de chaves RSA conhecido como Endorsement Key (EK). Os pares são armazenados dentro de semicondutores e não são acessíveis ao software. Quando um usuário ou administrador sobrecarrega o sistema, é criada uma chave raiz de armazenamento. O TPM gera esse par de chaves com base na EK e na senha que o proprietário especifica.
A parte secreta da chave raiz de armazenamento ou da chave de atestado gerada pelo TPM nunca é divulgada a nenhum outro componente, programa, processo, usuário ou dispositivo.
Por ser um módulo baseado em hardware, o malware não pode alterá-lo por meio de métodos de software padrão. Como resultado, o chip TPM torna-se uma “raiz de confiança” baseada em hardware na qual o sistema operacional pode sempre confiar.
Vantagens do TPM
- Criar, armazenar e limitar o uso de chaves criptográficas.
- Use métricas que possam identificar alterações na configuração para garantir a integridade da plataforma.
- Use as chaves RSA do TPM para autenticação do dispositivo da plataforma.
- Reduz o risco de ataques de firmware, ransomware e phishing.
- A tecnologia DRM pode proteger os direitos de mídia digital.
- Garantir que as licenças de software estejam seguras.
O que o TPM pode fazer?
- O Windows Hello é uma ferramenta de identificação biométrica e controle de acesso que funciona com scanners de impressão digital, scanners de íris e tecnologia de reconhecimento facial habilitados para TPM.
- Como uma defesa contra ataques de força bruta, que tentam invadir uma rede de computadores protegida por senha digitando cada palavra do dicionário como senha.
- Os cartões inteligentes virtuais são baseados no TPM para autenticação de recursos externos.
- O Boot ajuda a detectar malware durante o processo de inicialização do Windows e suas definições de configuração.
- Analise e determine a integridade do dispositivo gerando certificados AIK para o TPM.
- Proteja as credenciais na segurança baseada em virtualização. Nesse caso, o TPM é usado para proteger a chave.
TPM: Discreto, integrado ou firmware?
O TPM pode ser implementado de três maneiras:
- Discreto: O chip TPM como um componente difere em sua embalagem de semicondutor.
- Integrado: Um TPM incorporado em um ou mais pacotes de semicondutores compartilhados, mas conceitualmente independente de outros componentes.
- Firmware: Um TPM que executa o TPM no firmware em uma unidade de computação de uso geral no modo Trusted Execution.
Outros artigos interessantes
O que acontece se o chip TPM falhar ou quebrar?
- Se o TPM for corrompido ou se tornar inacessível, qualquer criptografia que dependa da chave armazenada pelo TPM falhará.
- Todos os dados criptografados com uma chave TPM e sem backup serão perdidos, como sua unidade criptografada.
- Qualquer confiança na plataforma será perdida, por exemplo, durante o atestado remoto.
Como fazer backup das chaves TPM no Windows 11
A primeira etapa é certificar-se de que você tenha um serviço de domínio do Active Directory que possa ser gerenciado remotamente. Você pode criar um se ainda não o tiver.
Você pode usar um servidor do Active Directory Domain Services (AD DS) para garantir que somente os usuários autorizados tenham acesso a essas informações importantes por meio de um painel de administração centralizado.
Quando os administradores de sistema precisam reutilizar um computador antigo e redefinir o TPM para os padrões de fábrica, eles podem usar o backup para configurar remotamente o TPM na máquina local usando o AD DS. Os dados armazenados também podem ser usados em um estado de recuperação se o proprietário esquecer a senha do TPM.
Para fazer backup das informações do Proprietário do TPM no AD DS usando a configuração de Política de Grupo, siga estas etapas:
- Para executar a caixa de diálogo “Run“, você pode usar os botões (WIN + R).
- Digite “gpedit.msc” na caixa de pesquisa e pressione o botão OK.
- Navegue até “Computer Configuration\Administrative Templates\System\Trusted Platform Module Services“.
- No painel à direita, clique duas vezes em “Ativar o backup do TPM para os Serviços de Domínio do Active Directory“.
- Selecione a opção “Ativado“.
- Clique no botão OK para salvar as alterações