Trusted Platform Module Technology Overview

Applies to

• Windows 10
• Windows Server 2016
• Windows Server 2019

This topic for the IT professional describes the Trusted Platform Module (TPM) and how Windows uses it for access control and authentication.

Feature description

Trusted Platform Module (TPM) technology is designed to provide hardware-based, security-related functions. A TPM chip is a secure crypto-processor that is designed to carry out cryptographic operations. The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Some of the key advantages of using TPM technology are that you can:

Generate, store, and limit the use of cryptographic keys.

Use TPM technology for platform device authentication by using the TPM’s unique RSA key, which is burned into itself.

Help ensure platform integrity by taking and storing security measurements.

The most common TPM functions are used for system integrity measurements and for key creation and use. During the boot process of a system, the boot code that is loaded (including firmware and the operating system components) can be measured and recorded in the TPM. The integrity measurements can be used as evidence for how a system started and to make sure that a TPM-based key was used only when the correct software was used to boot the system.

TPM-based keys can be configured in a variety of ways. One option is to make a TPM-based key unavailable outside the TPM. This is good to mitigate phishing attacks because it prevents the key from being copied and used without the TPM. TPM-based keys can also be configured to require an authorization value to use them. If too many incorrect authorization guesses occur, the TPM will activate its dictionary attack logic and prevent further authorization value guesses.

Different versions of the TPM are defined in specifications by the Trusted Computing Group (TCG). For more information, consult the TCG Web site.

Automatic initialization of the TPM with Windows 10

Starting with Windows 10, the operating system automatically initializes and takes ownership of the TPM. This means that in most cases, we recommend that you avoid configuring the TPM through the TPM management console, TPM.msc. There are a few exceptions, mostly related to resetting or performing a clean installation on a PC. For more information, see Clear all the keys from the TPM. We’re no longer actively developing the TPM management console beginning with Windows Server 2019 and Windows 10, version 1809.

In certain specific enterprise scenarios limited to Windows 10, versions 1507 and 1511, Group Policy might be used to back up the TPM owner authorization value in Active Directory. Because the TPM state persists across operating system installations, this TPM information is stored in a location in Active Directory that is separate from computer objects.

Practical applications

Certificates can be installed or created on computers that are using the TPM. After a computer is provisioned, the RSA private key for a certificate is bound to the TPM and cannot be exported. The TPM can also be used as a replacement for smart cards, which reduces the costs associated with creating and disbursing smart cards.

Automated provisioning in the TPM reduces the cost of TPM deployment in an enterprise. New APIs for TPM management can determine if TPM provisioning actions require physical presence of a service technician to approve TPM state change requests during the boot process.

Antimalware software can use the boot measurements of the operating system start state to prove the integrity of a computer running Windows 10 or Windows Server 2016. These measurements include the launch of Hyper-V to test that datacenters using virtualization are not running untrusted hypervisors. With BitLocker Network Unlock, IT administrators can push an update without concerns that a computer is waiting for PIN entry.

The TPM has several Group Policy settings that might be useful in certain enterprise scenarios. For more info, see TPM Group Policy Settings.

New and changed functionality

For more info on new and changed functionality for Trusted Platform Module in Windows 10, see What’s new in Trusted Platform Module?.

Device health attestation

Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. With device heath attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource.

Some things that you can check on the device are:

Is Data Execution Prevention supported and enabled?

Is BitLocker Drive Encryption supported and enabled?

Is SecureBoot supported and enabled?

Windows 10, Windows Server 2016 and Windows Server 2019 support Device Health Attestation with TPM 2.0. Support for TPM 1.2 was added beginning with Windows version 1607 (RS1). TPM 2.0 requires UEFI firmware. A computer with legacy BIOS and TPM 2.0 won’t work as expected.

Основы доверенного платформенного модуля TPM fundamentals

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этом разделе для ИТ-специалистов описаны компоненты модуля доверенных платформ (TPM 1.2 и TPM 2.0) и описано, как они используются для смягчения атак словарей. This topic for the IT professional provides a description of the components of the Trusted Platform Module (TPM 1.2 and TPM 2.0) and explains how they are used to mitigate dictionary attacks.

Модуль доверенных платформ (TPM) — это микрочип, предназначенный для предоставления базовых функций, связанных с безопасностью, в первую очередь с ключами шифрования. A Trusted Platform Module (TPM) is a microchip designed to provide basic security-related functions, primarily involving encryption keys. TPM обычно устанавливается на материнскую доску компьютера, и он взаимодействует с остальной частью системы с помощью аппаратного автобуса. The TPM is usually installed on the motherboard of a computer, and it communicates with the remainder of the system by using a hardware bus.

Компьютеры, которые включают TPM, могут создавать криптографические ключи и шифровать их, чтобы их можно было расшифровать только с помощью TPM. Computers that incorporate a TPM can create cryptographic keys and encrypt them so that they can only be decrypted by the TPM. Этот процесс, часто называемый упаковкой или привязкой ключа, может помочь защитить ключ от раскрытия. This process, often called wrapping or binding a key, can help protect the key from disclosure. Каждый TPM имеет главный ключ упаковки, называемый корневым ключом хранилища, который хранится в самом TPM. Each TPM has a master wrapping key, called the storage root key, which is stored within the TPM itself. Частная часть корневого ключа хранилища или ключа подтверждения, созданного в TPM, никогда не подвергается воздействию любого другого компонента, программного обеспечения, процесса или пользователя. The private portion of a storage root key or endorsement key that is created in a TPM is never exposed to any other component, software, process, or user.

Можно указать, можно ли перенести ключи шифрования, созданные TPM. You can specify whether encryption keys that are created by the TPM can be migrated or not. Если указать, что они могут быть перенесены, общедоступные и частные части ключа могут быть подвержены другим компонентам, программному обеспечению, процессам или пользователям. If you specify that they can be migrated, the public and private portions of the key can be exposed to other components, software, processes, or users. Если указать, что ключи шифрования невозможно перенести, частная часть ключа никогда не будет выставлена за пределами TPM. If you specify that encryption keys cannot be migrated, the private portion of the key is never exposed outside the TPM.

Компьютеры, которые включают TPM, также могут создавать ключ, который не только был завернут, но и привязан к определенным измерениям платформы. Computers that incorporate a TPM can also create a key that has not only been wrapped, but is also tied to certain platform measurements. Этот тип ключа можно разверять только тогда, когда эти измерения платформы имеют те же значения, что и при создания ключа. This type of key can be unwrapped only when those platform measurements have the same values that they had when the key was created. Этот процесс называется «запечатывая ключ к TPM». This process is referred to as “sealing the key to the TPM.” Расшифровка ключа называется unsealing. Decrypting the key is called unsealing. TPM также может запечатать и размыть данные, которые создаются за пределами TPM. The TPM can also seal and unseal data that is generated outside the TPM. С помощью этого закрытого ключа и программного обеспечения, например шифрования диска BitLocker, можно заблокировать данные до тех пор, пока не будут выполнены определенные условия оборудования или программного обеспечения. With this sealed key and software, such as BitLocker Drive Encryption, you can lock data until specific hardware or software conditions are met.

С помощью TPM частные части ключевых пар хранятся отдельно от памяти, контролируемой операционной системой. With a TPM, private portions of key pairs are kept separate from the memory that is controlled by the operating system. Ключи могут быть запечатаны в TPM, а некоторые гарантии состояния системы (гарантии, определяя надежность системы) могут быть сделаны до того, как ключи будут отмыты и выпущены для использования. Keys can be sealed to the TPM, and certain assurances about the state of a system (assurances that define the trustworthiness of a system) can be made before the keys are unsealed and released for use. Поскольку TPM использует собственные внутренние схемы прошивки и логики для обработки инструкций, она не зависит от операционной системы и не подвергается уязвимостям, которые могут существовать в операционной системе или программном обеспечении приложений. Because the TPM uses its own internal firmware and logic circuits to process instructions, it does not rely on the operating system, and it is not exposed to vulnerabilities that might exist in the operating system or application software.

Сведения о том, какие версии Windows поддерживают версии TPM, см. в обзоре технологий доверенных модулей платформы. For info about which versions of Windows support which versions of the TPM, see Trusted Platform Module technology overview. Функции, доступные в версиях, определяются в спецификациях группой надежных вычислений (TCG). The features that are available in the versions are defined in specifications by the Trusted Computing Group (TCG). Дополнительные сведения см. на странице Доверенный модуль платформы на веб-сайте Группы доверенных вычислений: Модуль доверенных платформ. For more info, see the Trusted Platform Module page on the Trusted Computing Group website: Trusted Platform Module.

В следующих разделах представлен обзор технологий, поддерживаюных TPM: The following sections provide an overview of the technologies that support the TPM:

В следующем разделе описываются службы TPM, которые можно управлять централизованно с помощью параметров групповой политики: Параметры групповой политики TPM. The following topic describes the TPM Services that can be controlled centrally by using Group Policy settings: TPM Group Policy Settings.

Измеренная загрузка с поддержкой для проверки Measured Boot with support for attestation

Функция Measured Boot предоставляет программное обеспечение для антивирусных программ с доверенным журналом (устойчивым к подмене и фальсификации) всех компонентов загрузки. The Measured Boot feature provides antimalware software with a trusted (resistant to spoofing and tampering) log of all boot components. Программное обеспечение antimalware может использовать журнал, чтобы определить, являются ли компоненты, которые использовались до этого, надежными и зараженными вредоносными программами. Antimalware software can use the log to determine whether components that ran before it are trustworthy versus infected with malware. Он также может отправлять журналы измеренной загрузки на удаленный сервер для оценки. It can also send the Measured Boot logs to a remote server for evaluation. Удаленный сервер может при необходимости инициировать действия по исправлению, взаимодействуя с программным обеспечением на клиенте или с помощью вне диапазона механизмов. The remote server can initiate remediation actions by interacting with software on the client or through out-of-band mechanisms, as appropriate.

Виртуальная смарт-карта на основе TPM TPM-based Virtual Smart Card

Виртуальная смарт-карта эмулирует функции традиционных смарт-карт, но виртуальные смарт-карты используют чип TPM, доступный на компьютерах организации, а не требует использования отдельной физической смарт-карты и чтения. The Virtual Smart Card emulates the functionality of traditional smart cards, but Virtual Smart Cards use the TPM chip that is available on an organization’s computers, rather than requiring the use of a separate physical smart card and reader. Это значительно снижает затраты на управление и развертывание смарт-карт на предприятии. This greatly reduces the management and deployment cost of smart cards in an enterprise. Для конечных пользователей виртуальная смарт-карта всегда доступна на компьютере. To the end user, the Virtual Smart Card is always available on the computer. Если пользователю необходимо использовать несколько компьютеров, для каждого компьютера пользователю должна быть выдана виртуальная смарт-карта. If a user needs to use more than one computer, a Virtual Smart Card must be issued to the user for each computer. Компьютер, который является общим для нескольких пользователей, может принимать несколько виртуальных смарт-карт, по одному для каждого пользователя. A computer that is shared among multiple users can host multiple Virtual Smart Cards, one for each user.

Хранилище сертификатов на основе TPM TPM-based certificate storage

TPM можно использовать для защиты сертификатов и клавиш RSA. The TPM can be used to protect certificates and RSA keys. Поставщик ключей TPM (KSP) обеспечивает простое и удобное использование TPM как способ жесткой защиты частных ключей. The TPM key storage provider (KSP) provides easy, convenient use of the TPM as a way of strongly protecting private keys. TPM KSP может использоваться для создания ключей при регистрации организации на сертификаты, а управление KSP — шаблонами в пользовательском интерфейсе. The TPM KSP can be used to generate keys when an organization enrolls for certificates, and the KSP is managed by templates in the UI. TPM также можно использовать для защиты сертификатов, импортируемых из внешнего источника. The TPM can also be used to protect certificates that are imported from an outside source. Сертификаты на основе TPM можно использовать в качестве стандартных сертификатов с добавленными функциями, которые сертификат никогда не сможет оставить TPM, из которого были созданы ключи. TPM-based certificates can be used exactly as standard certificates with the added functionality that the certificate can never leave the TPM from which the keys were generated. Теперь TPM можно использовать для крипто-операций с помощью API криптографии: Следующее поколение (CNG). The TPM can now be used for crypto-operations through Cryptography API: Next Generation (CNG). Дополнительные сведения см. в API криптографии. For more info, see Cryptography API: Next Generation.

Комлеты TPM TPM Cmdlets

Вы можете управлять TPM с помощью Windows PowerShell. You can manage the TPM using Windows PowerShell. Подробные сведения см. в материале TPM Cmdlets in Windows PowerShell. For details, see TPM Cmdlets in Windows PowerShell.

Интерфейс физического присутствия Physical presence interface

Для TPM 1.2 спецификации TCG для TPMs требуют физического присутствия (как правило, нажатия клавиши) для включение TPM, его отключения или очистки. For TPM 1.2, the TCG specifications for TPMs require physical presence (typically, pressing a key) for turning the TPM on, turning it off, or clearing it. Эти действия обычно не могут быть автоматизированы с помощью скриптов или других средств автоматизации, если только отдельный OEM не поставляет их. These actions typically cannot be automated with scripts or other automation tools unless the individual OEM supplies them.

Состояния tPM 1.2 и инициализация TPM 1.2 states and initialization

Для TPM 1.2 существует несколько возможных штатов. For TPM 1.2, there are multiple possible states. Windows 10 автоматически инициализирует TPM, что приводит его в состояние включено, активировано и принадлежит. Windows 10 automatically initializes the TPM, which brings it to an enabled, activated, and owned state.

Клавиши одобрения Endorsement keys

Чтобы TPM можно было использовать доверенным приложением, он должен содержать ключ подтверждения, который является ключевой парой RSA. For a TPM to be usable by a trusted application, it must contain an endorsement key, which is an RSA key pair. Частная половина пары ключей находится внутри TPM, и она никогда не раскрывается и недоступна за пределами TPM. The private half of the key pair is held inside the TPM, and it is never revealed or accessible outside the TPM.

Заверение ключа Key attestation

Аттестация ключа TPM позволяет органу сертификации проверять, что частный ключ на самом деле защищен TPM и что TPM доверяет этому органу сертификации. TPM key attestation allows a certification authority to verify that a private key is actually protected by a TPM and that the TPM is one that the certification authority trusts. Для привязки удостоверения пользователя к устройству можно использовать проверенные допустимые ключи. Endorsement keys which have been proven valid can be used to bind the user identity to a device. Кроме того, сертификат пользователя с заверенным ключом TPM обеспечивает более высокую гарантию безопасности, которая обеспечивается за счет неэкспортируемости, защиты от молотка и изоляции ключей, предоставляемых TPM. Moreover, the user certificate with a TPM attested key provides higher security assurance backed up by the non-exportability, anti-hammering, and isolation of keys provided by a TPM.

Anti-hammering Anti-hammering

Когда TPM обрабатывает команду, она делает это в защищенной среде, например, выделенном микроконтроллере на дискретном чипе или в специальном аппаратном режиме на основном процессоре. When a TPM processes a command, it does so in a protected environment, for example, a dedicated microcontroller on a discrete chip or a special hardware-protected mode on the main CPU. TPM можно использовать для создания криптографического ключа, который не раскрывается за пределами TPM, но может использоваться в TPM после правильного значения авторизации. A TPM can be used to create a cryptographic key that is not disclosed outside the TPM, but is able to be used in the TPM after the correct authorization value is provided.

TPMs имеют защиту от молотка, которая предназначена для предотвращения атак грубой силы или более сложных атак словаря, которые пытаются определить значения авторизации для использования ключа. TPMs have anti-hammering protection that is designed to prevent brute force attacks, or more complex dictionary attacks, that attempt to determine authorization values for using a key. Основной подход заключается в том, чтобы TPM разрешала только ограниченное число сбоев авторизации, прежде чем она предотвратит дополнительные попытки использования ключей и замков. The basic approach is for the TPM to allow only a limited number of authorization failures before it prevents more attempts to use keys and locks. Предоставление подсчета отказов для отдельных ключей не является технически практическим, поэтому TPMs имеют глобальную блокировку, когда возникает слишком много сбоев авторизации. Providing a failure count for individual keys is not technically practical, so TPMs have a global lockout when too many authorization failures occur.

Так как многие сущности могут использовать TPM, один успех авторизации не может сбросить защиту от молотка TPM. Because many entities can use the TPM, a single authorization success cannot reset the TPM’s anti-hammering protection. Это предотвращает создание злоумышленником ключа с известным значением авторизации, а затем его использование для сброса защиты TPM. This prevents an attacker from creating a key with a known authorization value and then using it to reset the TPM’s protection. Как правило, TPMs предназначены для того, чтобы забыть о сбоях авторизации через некоторое время, чтобы TPM не вводит состояние блокировки без необходимости. Generally, TPMs are designed to forget about authorization failures after a period of time so the TPM does not enter a lockout state unnecessarily. Пароль владельца TPM можно использовать для сброса логики блокировки TPM. A TPM owner password can be used to reset the TPM’s lockout logic.

TPM 2.0 для борьбы с молотком TPM 2.0 anti-hammering

TPM 2.0 имеет четко определенное поведение для борьбы с молотком. TPM 2.0 has well defined anti-hammering behavior. Это в отличие от TPM 1.2, для которого защита от молотка была реализована производителем, и логика сильно различалась по всей отрасли. This is in contrast to TPM 1.2 for which the anti-hammering protection was implemented by the manufacturer, and the logic varied widely throughout the industry.

Для систем с TPM 2.0 TPM настраивается Windows для блокировки после 32 сбоев авторизации и для того, чтобы каждые два часа забыть об одном сбое авторизации. For systems with TPM 2.0, the TPM is configured by Windows to lock after 32 authorization failures and to forget one authorization failure every two hours. Это означает, что пользователь может быстро попытаться использовать ключ с неправильным значением авторизации 32 раза. This means that a user could quickly attempt to use a key with the wrong authorization value 32 times. Для каждой из 32 попыток TPM записи, если значение авторизации было правильным или нет. For each of the 32 attempts, the TPM records if the authorization value was correct or not. Это непреднамеренно вызывает ввод TPM заблокированного состояния после 32 неудачных попыток. This inadvertently causes the TPM to enter a locked state after 32 failed attempts.

Попытки использовать ключ со значением авторизации в течение следующих двух часов не возвращают успеха или сбоя; вместо ответа указывается, что TPM заблокирован. Attempts to use a key with an authorization value for the next two hours would not return success or failure; instead the response indicates that the TPM is locked. После двух часов один сбой авторизации забыт, а число сбоев авторизации, запоминаемого TPM, снижается до 31, поэтому TPM покидает заблокированный режим и возвращается к нормальной работе. After two hours, one authorization failure is forgotten and the number of authorization failures remembered by the TPM drops to 31, so the TPM leaves the locked state and returns to normal operation. При правильном значении авторизации ключи можно использовать в обычном режиме, если в течение следующих двух часов не произойдет сбоев авторизации. With the correct authorization value, keys could be used normally if no authorization failures occur during the next two hours. Если в течение 64 часов не было сбоев авторизации, TPM не запоминает сбоев авторизации, и 32 неудачных попытки могут повториться. If a period of 64 hours elapses with no authorization failures, the TPM does not remember any authorization failures, and 32 failed attempts could occur again.

Windows 8 сертификации не требуется, чтобы системы TPM 2.0 забывали о сбоях авторизации, когда система полностью отключена или когда система сбоя. Windows 8 Certification does not require TPM 2.0 systems to forget about authorization failures when the system is fully powered off or when the system has hibernated. Windows требует, чтобы сбои авторизации забывались, когда система работает нормально, в режиме сна или в состояниях с низкой мощностью, кроме отключения. Windows does require that authorization failures are forgotten when the system is running normally, in a sleep mode, or in low power states other than off. Если система Windows с TPM 2.0 заблокирована, TPM выходит из режима блокировки, если система остается в течение двух часов. If a Windows system with TPM 2.0 is locked, the TPM leaves lockout mode if the system is left on for two hours.

Защита от молотка для TPM 2.0 может быть немедленно сброшена, отправив команду блокировки сброса в TPM и предоставив пароль владельца TPM. The anti-hammering protection for TPM 2.0 can be fully reset immediately by sending a reset lockout command to the TPM and providing the TPM owner password. По умолчанию Windows автоматически содержит TPM 2.0 и сохраняет пароль владельца TPM для использования системным администратором. By default, Windows automatically provisions TPM 2.0 and stores the TPM owner password for use by system administrators.

В некоторых корпоративных ситуациях значение авторизации владельца TPM настраивается на централизованное хранение в Active Directory и не хранится в локальной системе. In some enterprise situations, the TPM owner authorization value is configured to be stored centrally in Active Directory, and it is not stored on the local system. Администратор может запустить MMC TPM и сбросить время блокировки TPM. An administrator can launch the TPM MMC and choose to reset the TPM lockout time. Если пароль владельца TPM хранится локально, он используется для сброса времени блокировки. If the TPM owner password is stored locally, it is used to reset the lockout time. Если пароль владельца TPM не доступен в локальной системе, администратор должен предоставить его. If the TPM owner password is not available on the local system, the administrator needs to provide it. Если администратор пытается сбросить состояние блокировки TPM с неправильным паролем владельца TPM, TPM не разрешает еще одну попытку сбросить состояние блокировки в течение 24 часов. If an administrator attempts to reset the TPM lockout state with the wrong TPM owner password, the TPM does not allow another attempt to reset the lockout state for 24 hours.

TPM 2.0 позволяет создавать некоторые ключи без значения авторизации, связанного с ними. TPM 2.0 allows some keys to be created without an authorization value associated with them. Эти ключи можно использовать при блокировке TPM. These keys can be used when the TPM is locked. Например, BitLocker с конфигурацией только для TPM по умолчанию может использовать ключ в TPM для запуска Windows даже при блокировке TPM. For example, BitLocker with a default TPM-only configuration is able to use a key in the TPM to start Windows, even when the TPM is locked.

Обоснование по умолчанию Rationale behind the defaults

Изначально BitLocker разрешает пин-код от 4 до 20 символов. Originally, BitLocker allowed from 4 to 20 characters for a PIN. Windows Hello имеет собственный ПИН-код для логотипа, который может быть от 4 до 127 символов. Windows Hello has its own PIN for logon, which can be 4 to 127 characters. Как BitLocker, так и Windows Hello используют TPM для предотвращения атак грубой силы ПИН-кода. Both BitLocker and Windows Hello use the TPM to prevent PIN brute-force attacks.

TPM можно настроить для использования параметров предотвращения атак Dictionary (пороговое значение блокировки и продолжительность блокировки) для управления количеством попыток неудачных авторизации до блокировки TPM и времени, необходимого для того, чтобы сделать еще одну попытку. The TPM can be configured to use Dictionary Attack Prevention parameters (lockout threshold and lockout duration) to control how many failed authorizations attempts are allowed before the TPM is locked out, and how much time must elapse before another attempt can be made.

Параметры предотвращения атак Dictionary предоставляют способ сбалансировать потребности в безопасности с возможностью использования. The Dictionary Attack Prevention Parameters provide a way to balance security needs with usability. Например, когда BitLocker используется с конфигурацией TPM + PIN, со временем количество пин-кодов ограничено. For example, when BitLocker is used with a TPM + PIN configuration, the number of PIN guesses is limited over time. TPM 2.0 в этом примере можно настроить, чтобы разрешить сразу 32 пин-кода, а затем только одно предположение каждые два часа. A TPM 2.0 in this example could be configured to allow only 32 PIN guesses immediately, and then only one more guess every two hours. Это максимум 4415 догадки в год. This totals a maximum of about 4415 guesses per year. Если ПИН-код составляет 4 цифры, все возможные комбинации ПИН-кода 9999 можно будет использовать в течение чуть более двух лет. If the PIN is 4 digits, all 9999 possible PIN combinations could be attempted in a little over two years.

Для увеличения длины ПИН-кода злоумышленнику требуется большее количество догадок. Increasing the PIN length requires a greater number of guesses for an attacker. В этом случае продолжительность блокировки между каждой догадкой может быть сокращена, чтобы законные пользователи могли повторить неудачную попытку раньше, сохраняя при этом аналогичный уровень защиты. In that case, the lockout duration between each guess can be shortened to allow legitimate users to retry a failed attempt sooner, while maintaining a similar level of protection.

Начиная с Windows 10 версии 1703 минимальная длина ПИН-кода BitLocker была увеличена до 6 символов, чтобы лучше увязываться с другими функциями Windows, которые используют TPM 2.0, включая Windows Hello. Beginning with Windows 10, version 1703, the minimum length for the BitLocker PIN was increased to 6 characters to better align with other Windows features that leverage TPM 2.0, including Windows Hello. Чтобы помочь организациям с переходом, начиная с Windows 10, версии 1709 и Windows 10, версии 1703 с установленным накопительным обновлением в октябре 2017 г., длина PIN-кода BitLocker по умолчанию составляет 6 символов, но ее можно уменьшить до 4 символов. To help organizations with the transition, beginning with Windows 10, version 1709 and Windows 10, version 1703 with the October 2017 cumulative update installed, the BitLocker PIN length is 6 characters by default, but it can be reduced to 4 characters. Если минимальная длина ПИН-кода будет уменьшена с шести символов по умолчанию, период блокировки TPM 2.0 будет продлен. If the minimum PIN length is reduced from the default of six characters, then the TPM 2.0 lockout period will be extended.

Смарт-карты на основе TPM TPM-based smart cards

Чтобы разрешить вход в систему, можно настроить смарт-карту на основе TPM на основе Windows, которая является виртуальной смарт-картой. The Windows TPM-based smart card, which is a virtual smart card, can be configured to allow sign in to the system. В отличие от физических смарт-карт, процесс регистрации использует ключ на основе TPM со значением авторизации. In contrast with physical smart cards, the sign-in process uses a TPM-based key with an authorization value. В следующем списке показаны преимущества виртуальных смарт-карт: The following list shows the advantages of virtual smart cards:

Физические смарт-карты могут применять блокировку только для пин-кода физической смарт-карты, и они могут сбросить блокировку после правильного пин-кода. Physical smart cards can enforce lockout for only the physical smart card PIN, and they can reset the lockout after the correct PIN is entered. С помощью виртуальной смарт-карты защита от молотка TPM не сбрасывается после успешной проверки подлинности. With a virtual smart card, the TPM’s anti-hammering protection is not reset after a successful authentication. Допустимые количества сбоев авторизации перед блокировкой TPM включают в себя множество факторов. The allowed number of authorization failures before the TPM enters lockout includes many factors.

Производители оборудования и разработчики программного обеспечения могут использовать функции безопасности TPM для удовлетворения их требований. Hardware manufacturers and software developers have the option to use the security features of the TPM to meet their requirements.

Целью выбора 32 сбоев в качестве порога блокировки является то, что пользователи редко блокирует TPM (даже при обучении вводить новые пароли или при частой блокировке и разблокировать компьютеры). The intent of selecting 32 failures as the lock-out threshold is so users rarely lock the TPM (even when learning to type new passwords or if they frequently lock and unlock their computers). Если пользователи заблокировать TPM, они должны подождать два часа или использовать другие учетные данные для входа, например имя пользователя и пароль. If users lock the TPM, they must to wait two hours or use some other credential to sign in, such as a user name and password.