使用 TPM 的優(yōu)勢(shì)在于，如果 BIOS 或系統(tǒng)啟動(dòng)文件在啟用 BitLocker 后做出更改，BitLocker 會(huì)使用 TPM 功能確保不解密 VMK 和解除對(duì)引導(dǎo)卷的鎖定 。當(dāng)您第一次加密系統(tǒng)卷，以及每次對(duì)提及的所有組件執(zhí)行更新時(shí)，BitLocker 會(huì)借助于 TPM 設(shè)備驅(qū)動(dòng)程序 (%Systemroot%System32DriversTpm.sys) 計(jì)算這些組件的 SHA-1 哈希，并將稱為測(cè)量的每個(gè)哈希存儲(chǔ)到不同的 TPM 平臺(tái)配置注冊(cè)表 (PCR) 。接下來，它使用 TPM 密封 VMK，該操作使用存儲(chǔ)在 TPM 中的私鑰加密 TPM 和與 BitLocker 傳遞到 TPM 的其他數(shù)據(jù)一起存儲(chǔ)在 PCR 中的值 。然后，BitLocker 將密封的 VMK 和加密的 FVEK 存儲(chǔ)在卷的元數(shù)據(jù)區(qū)域 。
當(dāng)系統(tǒng)啟動(dòng)時(shí)，它會(huì)測(cè)量自己的哈希和 PCR 加載代碼，并將哈希寫入 TPM 的第一個(gè) PCR 。然后，它哈希 BIOS，并將該測(cè)量存儲(chǔ)到相應(yīng)的 PCR 。接下來，BIOS 按啟動(dòng)序列哈希下一個(gè)組件，即引導(dǎo)卷的主引導(dǎo)記錄 (MBR)，此過程會(huì)一直繼續(xù)，直到測(cè)量操作系統(tǒng)加載器 。運(yùn)行的每個(gè)后續(xù)代碼段負(fù)責(zé)測(cè)量其加載的代碼，并將測(cè)量結(jié)果存儲(chǔ)到 TPM 中相應(yīng)的注冊(cè)表 。最后，當(dāng)用戶選擇要啟動(dòng)哪個(gè)操作系統(tǒng)時(shí)，啟動(dòng)管理器 (Bootmgr) 會(huì)從卷讀取加密的 VMK，并要求 TPM 取消密封 。只有所有測(cè)量與密封 VMK 時(shí)相同時(shí)（包括可選的 PIN），TPM 才成功解密 VMK 。
您可以考慮將此方案作為驗(yàn)證鏈，其中啟動(dòng)序列中的每個(gè)組件會(huì)描述 TPM 的下一個(gè)組件 。只有所有描述與提供的原始描述相符時(shí)，TPM 才泄露其秘密 。因此，即使卸下磁盤并裝到其他系統(tǒng)、使用不同的操作系統(tǒng)啟動(dòng)系統(tǒng)或引導(dǎo)卷上未加密文件遭到破壞，BitLocker 也會(huì)保護(hù)加密數(shù)據(jù) 。
5.代碼完整性驗(yàn)證
作為內(nèi)核模式設(shè)備驅(qū)動(dòng)程序執(zhí)行的惡意軟件（包括 rootkit）與內(nèi)核在相同的權(quán)限級(jí)別運(yùn)行，因此最難識(shí)別和刪除 。這類惡意軟件可以修改內(nèi)核和其他驅(qū)動(dòng)程序的行為，以便使其變得不可見 。內(nèi)核模式代碼功能的 Windows Vista 代碼完整性，也稱為內(nèi)核模式代碼簽名 (KMCS)，僅允許加載由開發(fā)人員發(fā)布和經(jīng)過數(shù)字簽名的設(shè)備驅(qū)動(dòng)程序，這些開發(fā)人員已經(jīng)過為數(shù)不多的證書頒發(fā)機(jī)構(gòu) (CA) 之一的審查 。默認(rèn)情況下，KMCS 在 Windows Vista 64 位系統(tǒng)上強(qiáng)制執(zhí)行 。
因?yàn)樽C書頒發(fā)機(jī)構(gòu)會(huì)對(duì)其服務(wù)收取費(fèi)用并進(jìn)行基本的背景檢查，如驗(yàn)證業(yè)務(wù)識(shí)別，所以很難產(chǎn)生在 64 位 Windows Vista 上運(yùn)行的匿名內(nèi)核模式惡意軟件 。此外，設(shè)法溜過驗(yàn)證進(jìn)程的惡意軟件可能會(huì)留下線索，這些線索在受到危害的系統(tǒng)發(fā)現(xiàn)惡意軟件時(shí)，可以反擊作者 。KMCS 還有一些次要的用途，如在懷疑驅(qū)動(dòng)程序有使客戶系統(tǒng)崩潰的錯(cuò)誤和解除高清晰度多媒體內(nèi)容鎖定（我會(huì)在稍后簡(jiǎn)單介紹）時(shí)，會(huì)向 Windows 在線崩潰分析團(tuán)隊(duì)提供聯(lián)系信息 。
KMCS 使用 Windows 十多年來一直采用的公鑰加密技術(shù)，并要求內(nèi)核模式代碼包括由受信任證書頒發(fā)機(jī)構(gòu)之一生成的數(shù)字簽名 。如果發(fā)布者將驅(qū)動(dòng)程序提交給 Microsoft Windows 硬件質(zhì)量實(shí)驗(yàn)室 (WHQL)，并且驅(qū)動(dòng)程序通過了可靠性測(cè)試，則 Microsoft 會(huì)充當(dāng)簽署代碼的證書頒發(fā)機(jī)構(gòu) 。大多數(shù)發(fā)布者將通過 WHQL 獲得簽名；但是如果驅(qū)動(dòng)程序沒有 WHQL 測(cè)試程序，發(fā)布者不想提交到 WHQL 測(cè)試，或者驅(qū)動(dòng)程序是在系統(tǒng)啟動(dòng)早期加載的引導(dǎo)啟動(dòng)驅(qū)動(dòng)程序，則發(fā)布者必須自己簽署代碼 。為此，他們必須首先從 Microsoft 確定為受信任內(nèi)核模式代碼簽名的證書頒發(fā)機(jī)構(gòu)之一獲得代碼簽名證書 。然后，作者通過數(shù)字方式哈希代碼，通過使用私鑰進(jìn)行加密來簽署哈希，并將證書和加密的哈希包含在代碼中 。
當(dāng)驅(qū)動(dòng)程序嘗試加載時(shí)，Windows 會(huì)使用存儲(chǔ)在證書中的公鑰解密包含在代碼中的哈希，然后驗(yàn)證哈希與代碼中包含的哈希是否匹配 。證書的真實(shí)性也通過相同的方式進(jìn)行檢查，但使用 Windows 附帶的證書頒發(fā)機(jī)構(gòu)的公鑰 。

推薦閱讀

• 

  騰訊視頻怎么取消連續(xù)包月 騰訊視頻如何取消連續(xù)包月
• 

  2022下半年莆田荔城區(qū)教資認(rèn)定報(bào)名+體檢安排時(shí)間
• 

  ppt講義模式怎么打印
• 

  顧維鈞原配最后結(jié)局 顧維鈞原配最后怎么樣了
• 

  長(zhǎng)春個(gè)人信息單如何查詢及打印
• 

  秋季花粉過敏是什么花粉-秋季花粉高峰期是幾月
• 

  超純水是什么
• 

  紅外線開關(guān)的原理
• 

  高考期間如何避開例假，高考來例假怎么辦
• 

  抖音作品怎么取消置頂
• 

  雀魂無役是什么意思
• 

  堅(jiān)果R1揚(yáng)聲器沙啞
• 

  聯(lián)想集團(tuán)股權(quán)分配情況 聯(lián)想工會(huì)持股怎么變了
• 

  怎樣快速消除身體水腫 浮腫怎么消除
• 

  如何殺死蜱蟲最有效
• 

  惡霸幾個(gè)月長(zhǎng)胸爆頭

• Windows Vista系統(tǒng)增加的一些系統(tǒng)服務(wù)
• 解決Vista系統(tǒng)與游戲的不兼容
• 同一分區(qū)安裝Vista和XP
• 找回Windows Vista超級(jí)管理員賬號(hào)
• Vista最新補(bǔ)丁 修復(fù)幫助與支持異常問題
• 網(wǎng)友聲稱搜索不當(dāng)可導(dǎo)致Vista系統(tǒng)崩潰
• 讓Vista既智能又安全 真的是很困難嗎？
• Windows Vista系統(tǒng)優(yōu)化磁盤性能
• 鈦鎂合金門十大名牌介紹看看你了解哪些 鈦鎂合金門十大名牌有哪些你了解
• 妙招自定義Vista更新