标题：TPM 和 Windows 功能
出处：gOxiA=苏繁=SuFan Blog
时间：Sat, 25 Feb 2023 21:26:43 +0000
作者：gOxiA
地址：https://sufan.maytide.net/read.php/2072.htm

内容：

TPM 和 Windows 功能

        Windows 11 的发布快速推动了 TPM 的普及率，从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间，在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护，但现在 TPM 已经作为一个必须启用的安全组件，包含在我们的 Modern Device 中。对于设备的最终用户，TPM 貌似并不直接与用户交互，但它却至关重要，例如 BitLocker 硬盘加密，Windows Hello 生物验证都需要用到 TPM，并且很多关键的安全功能也都会使用到 TPM，不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM，下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。
度量启动，需要 TPM，支持1.2和2.0，并依赖 UEFI 安全启动，微软建议使用 TPM 2.0，因为支持较新的加密算法。BitLocker，非必须 TPM，支持1.2和2.0，虽然 TPM 不是必须的，但微软建议基于 TPM 2.0 实施 BitLocker，因为性能更好，更安全可靠。设备自动加密，需要 TPM，支持2.0，OEM 或 组织 IT 可以借助自动加密技术，预先配置 BitLocker，当条件满足时就会立刻启用 BitLokcer，无需等待或单独配置。Windows Defender System Guard（DRTM），需要 TPM，支持2.0。Credential Guard，非必须 TPM，支持1.2和2.0，与 DRTM 集成，利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。设备运行状况证明（Device Health Attestation），必须 TPM，支持1.2和2.0，微软建议使用 TPM 2.0，因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。Windows Hello/Hello Business，非必须 TPM，支持1.2和2.0，AAD虽然加入了两个版本的支持，但需要带有键控哈希消息身份验证代码（Keyed-hash message authentication code - HMAC）和认可密钥（Endorsement Key - EK）证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。TPM 平台加密提供程序密钥存储提供程序，需要 TPM，支持1.2和2.0。虚拟智能卡，需要 TPM，支持1.2和2.0。证书存储，非必须 TPM，支持1.2和2.0，仅当证书存储在 TPM 中时才需要 TPM。Windows Autopilot，非必须 TPM，支持2.0，当使用自部署模式和预配部署模式（过去称之为 白手套模式）需要 TPM。SecureBIO，需要 TPM，支持2.0。

        注意：TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持，具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI，并且必须禁用旧版和兼容性支持模块（CSM）选项。为了增强安全性，还应启用安全启动（Secure Boot）。



Generated by Bo-blog 2.1.1 Release