Chave TPM e como fazer backup dela no Windows 11

O que acontecerá se você perder a chave TPM? Veja como fazer o backup da chave TPM no Windows 11.

Um Trusted Platform Module (TPM) é um microprocessador projetado para executar operações básicas de segurança, especialmente chaves de criptografia. O TPM é colocado na placa-mãe do computador e conectado a outros sistemas por meio do barramento de hardware.

Um computador habilitado para TPM pode gerar uma chave criptográfica e criptografá-la de modo que só possa ser decodificada pelo TPM. Esse método, também conhecido como empacotamento ou vinculação de uma chave, pode ajudar a protegê-la contra divulgação.

Cada chip TPM tem um par de chaves RSA conhecido como Endorsement Key (EK). Os pares são armazenados dentro de semicondutores e não são acessíveis ao software. Quando um usuário ou administrador sobrecarrega o sistema, é criada uma chave raiz de armazenamento. O TPM gera esse par de chaves com base na EK e na senha que o proprietário especifica.

A parte secreta da chave raiz de armazenamento ou da chave de atestado gerada pelo TPM nunca é divulgada a nenhum outro componente, programa, processo, usuário ou dispositivo.

Por ser um módulo baseado em hardware, o malware não pode alterá-lo por meio de métodos de software padrão. Como resultado, o chip TPM torna-se uma “raiz de confiança” baseada em hardware na qual o sistema operacional pode sempre confiar.

Vantagens do TPM

• Criar, armazenar e limitar o uso de chaves criptográficas.
• Use métricas que possam identificar alterações na configuração para garantir a integridade da plataforma.
• Use as chaves RSA do TPM para autenticação do dispositivo da plataforma.
• Reduz o risco de ataques de firmware, ransomware e phishing.
• A tecnologia DRM pode proteger os direitos de mídia digital.
• Garantir que as licenças de software estejam seguras.

O que o TPM pode fazer?

• O Windows Hello é uma ferramenta de identificação biométrica e controle de acesso que funciona com scanners de impressão digital, scanners de íris e tecnologia de reconhecimento facial habilitados para TPM.
• Como uma defesa contra ataques de força bruta, que tentam invadir uma rede de computadores protegida por senha digitando cada palavra do dicionário como senha.
• Os cartões inteligentes virtuais são baseados no TPM para autenticação de recursos externos.
• O Boot ajuda a detectar malware durante o processo de inicialização do Windows e suas definições de configuração.
• Analise e determine a integridade do dispositivo gerando certificados AIK para o TPM.
• Proteja as credenciais na segurança baseada em virtualização. Nesse caso, o TPM é usado para proteger a chave.

TPM: Discreto, integrado ou firmware?

O TPM pode ser implementado de três maneiras:

• Discreto: O chip TPM como um componente difere em sua embalagem de semicondutor.
• Integrado: Um TPM incorporado em um ou mais pacotes de semicondutores compartilhados, mas conceitualmente independente de outros componentes.
• Firmware: Um TPM que executa o TPM no firmware em uma unidade de computação de uso geral no modo Trusted Execution.

O que acontece se o chip TPM falhar ou quebrar?

• Se o TPM for corrompido ou se tornar inacessível, qualquer criptografia que dependa da chave armazenada pelo TPM falhará.
• Todos os dados criptografados com uma chave TPM e sem backup serão perdidos, como sua unidade criptografada.
• Qualquer confiança na plataforma será perdida, por exemplo, durante o atestado remoto.

Como fazer backup das chaves TPM no Windows 11

A primeira etapa é certificar-se de que você tenha um serviço de domínio do Active Directory que possa ser gerenciado remotamente. Você pode criar um se ainda não o tiver.

Você pode usar um servidor do Active Directory Domain Services (AD DS) para garantir que somente os usuários autorizados tenham acesso a essas informações importantes por meio de um painel de administração centralizado.

Quando os administradores de sistema precisam reutilizar um computador antigo e redefinir o TPM para os padrões de fábrica, eles podem usar o backup para configurar remotamente o TPM na máquina local usando o AD DS. Os dados armazenados também podem ser usados em um estado de recuperação se o proprietário esquecer a senha do TPM.

Para fazer backup das informações do Proprietário do TPM no AD DS usando a configuração de Política de Grupo, siga estas etapas:

1. Para executar a caixa de diálogo “Run“, você pode usar os botões (WIN + R).
2. Digite “gpedit.msc” na caixa de pesquisa e pressione o botão OK.
3. Navegue até “Computer Configuration\Administrative Templates\System\Trusted Platform Module Services“.
4. No painel à direita, clique duas vezes em “Ativar o backup do TPM para os Serviços de Domínio do Active Directory“.
5. Selecione a opção “Ativado“.
6. Clique no botão OK para salvar as alterações