Monday, July 18, 2011

Managing the Trusted Platform Module in Windows 7

การจัดการ Trusted Platform Module (TPM) ใน Windows 7
Trusted Platform Module (TPM) เป็นไมโครชิปที่ทำให้เครื่องคอมพิวเตอร์สามารถใช้งานคุณสมบัติความปลอดภัยขั้นสูงอย่างเช่น การเข้ารหัสข้อมูลแบบ BitLocker Drive Encryption ของ Windows 7 ได้ ซึ่งก่อนหน้านี้ผมได้แนะนำวิธีทำการเปิดใช้งานการเริ่มต้น TPM (Initialize TPM) ไปแล้วในบทความเรื่อง How to initialize Trusted Platform Module (TPM) in Windows 7 สำหรับบทความนี้จะเป็นการเจาะลึกถึงวิธีการการจัดการ TPM ในด้านต่างๆ อย่างเช่น Turn TPM Off, Change Owner TPM Password, Clear TPM และ Reset Lockout TPM

สแน็ปอิน Trusted Platform Module MMC
ในการจัดการ TPM บน Windows 7 (รวมถึง Windows Vista, Windows Server 2008 และ Windows Server 2008 R2) นั้นจะใช้สแน็ปอิน Trusted Platform Management ซึ่งเปิดได้โดยการคลิก Start จากนั้นพิมพ์ tpm.msc ในช่อง Search programs and files เสร็จแล้วกดปุ่ม Enter จะปรากฏหน้าต่าง Trusted Platform Module (TPM) Management on Local Computer ลักษณะดังรูปที่ 1 ซึ่งแอดมินสามารถใช้จัดการ TPM ได้ เช่น Turn TPM Off, Change Owner TPM Password, Clear TPM และ Reset Lockout TPM

รูปที่ 1:

Turn TPM Off
ในกรณีที่แอดมินต้องการปิด TPM สามารถทำได้ตามขั้นตอนดังนีั
1. ในแพน Action ของหน้าต่าง Trusted Platform Module (TPM) Management on Local Computer ดังรูปที่ 1 ให้คลิก Turn TPM Off
2. ในหน้าไดอะล็อกบ็อกซ์ Turn off the TPM security hardware ให้เลือกวิธีการตรวจสอบรหัสผ่านก่อนที่จะทำปิด TPM ซึ่งมีให้เลือก 3 วิธี ดังนี้
  • ถ้ามีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้ต่อเข้ากับเครื่องคอมพิวเตอร์แล้วคลิก I have the owner password file จากนั้นในหน้าไดอะล็อกบ็อกซ์ Select file with the TPM owner password คลิก Browse แล้วเปิดไปยังไดรฟ์ที่เก็บไฟล์ .tpm เลือกไฟล์ .tpm ที่ต้องการเสร็จแล้วคลิก Open จากนั้นคลิก Turn TPM Off
  • ถ้าไม่มีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้คลิก I want to enter the owner password ในไดอะล็อกบ็อกซ์ Type or enter the TPM owner password ให้ป้อนรหัสผ่าน (รวมขีด) เสร็จแล้วคลิก Turn TPM Off
  • ถ้าไม่มีทั้งแฟลชไดรฟ์ที่ใช้เก็บ TPM owner password และไม่ทราบรหัสผ่านให้คลิก I do not have the TPM owner password จากนั้นในหน้าไดอะล็อกบ็อกซ์ถัดไปให้คลิก Restart แล้วให้ดำเนินการตามคำสั่งบนจอภาพในโปรเซสการสตาร์ทอัพ หลังจากเครื่องคอมพิวเตอร์พร้อมใช้งานให้ทำการล็อกออนเข้าระบบเพื่อทำการปิด TPM โดยไม่ต้องใช้รหัสผ่าน

รูปที่ 2:

Clear TPM
ในกรณีที่แอดมินต้องการรีเซ็ต TPM กลับไปเป็นค่าดีฟอลท์ (factory defaults) สามารถทำได้โดยการเคลียร์ TPM อย่างไรก็ตามจะต้องใช้ด้วยความระมัดระวังเนื่องจากจะทำให้สูญเสียคีย์ที่สร้างขึ้นอย่างถาวรและจะไม่สามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสด้วยคีย์ดังกล่าว ทั้งนี้แอดมินควรทำการเคลียร์ TPM เฉพาะในกรณีที่จำเป็นจริงๆ เช่น ผู้ใช้ลืม TPM owner password หรือการนำเครื่องคอมพิวเตอร์ไปรีไซเคิล เป็นต้น โดยการเคลียร์ TPM มีขั้นตอนดังนีั
1. ในแพน Action ของหน้าต่าง Trusted Platform Module (TPM) Management on Local Computer ดังรูปที่ 1 ให้คลิก Clear TPM
2. ในหน้าไดอะล็อกบ็อกซ์ Clear TPM security hardware ให้เลือกวิธีการตรวจสอบรหัสผ่านก่อนที่จะทำเคลียร์ TPM ซึ่งมีให้เลือก 3 วิธี ดังนี้
  • ถ้ามีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้ต่อเข้ากับเครื่องคอมพิวเตอร์แล้วคลิก I have the owner password file จากนั้นในหน้าไดอะล็อกบ็อกซ์ Select file with the TPM owner password คลิก Browse แล้วเปิดไปยังไดรฟ์ที่เก็บไฟล์ .tpm เลือกไฟล์ .tpm ที่ต้องการเสร็จแล้วคลิก Open จากนั้นคลิก Clear TPM
  • ถ้าไม่มีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้คลิก I want to enter the owner password ในไดอะล็อกบ็อกซ์ Type or enter the TPM owner password ให้ป้อนรหัสผ่าน (รวมขีด) เสร็จแล้วคลิก Clear TPM
  • ถ้าไม่มีทั้งแฟลชไดรฟ์ที่ใช้เก็บ TPM owner password และไม่ทราบรหัสผ่านให้คลิก I do not have the TPM owner password จากนั้นในหน้าไดอะล็อกบ็อกซ์ถัดไปให้คลิก Restart แล้วให้ดำเนินการตามคำสั่งบนจอภาพในโปรเซสการสตาร์ทอัพ หลังจากเครื่องคอมพิวเตอร์พร้อมใช้งานให้ทำการล็อกออนเข้าระบบเพื่อทำการเคลียร์ TPM โดยไม่ต้องใช้รหัสผ่าน

รูปที่ 3:

Change TPM Owner Password
TPM Owner Password นั้นเหมือนกับรหัสผ่านอื่นๆ นั้นคือมันจะยังคงเป็นรหัสผ่านที่ปลอดภัยก็ต่อเมื่อมีผู้ทราบเพียงคนเดียว ดังนั้นเมื่อ TPM Owner Password รั่ว แอดมินควรทำการเปลี่ยนเพื่อให้ยังคงเป็นรหัสผ่านที่มีน่าเชื่อถือ อย่างไรก็ตามถ้าหากต้องการยกเลิก TPM Owner Password ชั่วคราวควรใช้วิธีการปิด TPM และถ้าต้องการยกเลิกคีย์ TMP ทั้งหมด สามารถใช้วิธีการเคลียร์ TPM โดยการเปลี่ยน TPM Owner Password มีขั้นตอนดังนีั
1. ในแพน Action ของหน้าต่าง Trusted Platform Module (TPM) Management on Local Computer ดังรูปที่ 1 ให้คลิก Change Owner Password
2. ในหน้าไดอะล็อกบ็อกซ์ Change TPM Owner Password ให้เลือกวิธีการตรวจสอบรหัสผ่านก่อนที่จะทำการเปลี่ยนรหัสผ่านซึ่งมีให้เลือก 2 วิธี ดังนี้
  • ถ้ามีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้ต่อเข้ากับเครื่องคอมพิวเตอร์ แล้วคลิก I have the owner password file จากนั้นในหน้าไดอะล็อกบ็อกซ์ Select file with the TPM owner password คลิก Browse แล้วเปิดไปยังไดรฟ์ที่เก็บไฟล์ .tpm เลือกไฟล์ .tpm ที่ต้องการเสร็จแล้วคลิก Open จากนั้นคลิก Create New Password
  • ถ้าไม่มีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้คลิก I want to enter the owner password ในไดอะล็อกบ็อกซ์ Type or enter the TPM owner password ให้ป้อนรหัสผ่าน (รวมขีด) เสร็จแล้วคลิก Create New Password

รูปที่ 4:

Reset TPM Lockout
TPM นั้นมีกลไกที่เรียกว่า lockout ซึ่งจะทำการล็อคการเข้าถึงข้อมูลเมื่อมีการป้อนรหัสผ่านผิดตามจำนวนที่กำหนดทั้งนี้เพื่อป้องกันการปลอมแปลงหรือการโจมตีด้วยการเดารหัสผ่าน โดยการล็อคนั้นจะมีผลเป็นเวลาตามที่กำหนดหรือจนกว่าทะมีการปิดเครื่องคอมพิวเตอร์ อย่างไรก็ตามแอดมินสามารถทำการรีเซ็ตการ Lockout TPM แบบแมนนวลได้ตามขั้นตอนดังนีั
1. ในแพน Action ของหน้าต่าง Trusted Platform Module (TPM) Management on Local Computer ดังรูปที่ 1 ให้คลิก Reset TPM Lockout
2. ในหน้าไดอะล็อกบ็อกซ์ Reset the authorization lockout of thr TPM security hardwareให้เลือกวิธีการตรวจสอบรหัสผ่านก่อนที่จะทำการรีเซ็ตการล็อค TPM ซึ่งมีให้เลือก 2 วิธี ดังนี้
  • ถ้ามีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้ต่อเข้ากับเครื่องคอมพิวเตอร์ แล้วคลิก I have the owner password file จากนั้นในหน้าไดอะล็อกบ็อกซ์ Select file with the TPM owner password คลิก Browse แล้วเปิดไปยังไดรฟ์ที่เก็บไฟล์ .tpm เลือกไฟล์ .tpm ที่ต้องการเสร็จแล้วคลิก Open จากนั้นคลิก Reset TPM Lockout
  • ถ้าไม่มีแฟลชไดรฟ์ที่ใช้เก็บไฟล์ TPM owner password ให้คลิก I want to enter the owner password ในไดอะล็อกบ็อกซ์ Type or enter the TPM owner password ให้ป้อนรหัสผ่าน (รวมขีด) เสร็จแล้วคลิก Reset TPM Lockout

รูปที่ 5:

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
Changes in TPM Management
Microsoft Technet

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: