Beschreibung des TPM-Cybersicherheitsmoduls
Das Modul HMIYMINATPM201 ist für den Einsatz in einer Industrieumgebung vorgesehen. Es ist mit dem Modul mit geringer Pinzahl kompatibel. Trusted Platform Module (TPM) ist ein internationaler Standard für einen sicheren Kryptoprozessor, d. h. für eine spezialisierte Microsteuerung, die zum Schutz von Hardware durch die Integration kryptografischer Schlüssel in Geräte entwickelt wurde.
Die Leiterplatten und das BIOS des Magelis Box iPC ermöglichen Ihnen die Installation des TPM -Moduls und die Aktivierung der Verschlüsselung mit Windows BitLocker. Dadurch werden die Speicherlaufwerke und das Betriebssystem auf der Grundlage der im Hardwaremodul verwalteten Passwörter und Schlüssel verschlüsselt.
Je nach Teilenummer ist das TMP -Modul HMIYMINATPM201 in Übereinstimmung mit der Auftragskonfiguration (CTO (configured to order)) standardmäßig montiert oder kann vom Benutzer später als optionales Zubehör montiert werden. Die Verschlüsselung kann mit BitLocker aktiviert werden.
Stecken Sie das Modul auf die Stiftleiste des Box iPC auf.
Modulspezifische Kompatibilitätstabelle
|
Teilenummer |
Beschreibung |
HMIBMU/HMIBMP |
HMIBMI/HMIBMO |
|---|---|---|---|
|
HMIYMINATPM201 |
Modul TPM 2.0 |
Ja(1) |
Ja |
|
HINWEIS: (1) Es muss ein Downgrade auf das TPM 1.2-Modul durchgeführt werden. |
|||
Box iPC Optimized:
Box iPC Universal/Box iPC Performance:
Fahren Sie das Windows-Betriebssystem vor dem Installieren oder Entfernen einer mini-PCIe-Karte ordnungsgemäß herunter und trennen Sie das Gerät vom Netz.
|
HINWEIS |
|
ELEKTROSTATISCHE ENTLADUNG |
|
Ergreifen Sie alle notwendigen Schutzmaßnahmen gegen elektrostatische Entladung, bevor Sie versuchen, die Abdeckung des Magelis Industrial PC zu entfernen. |
|
Die Nichtbeachtung dieser Anweisungen kann Sachschäden zur Folge haben. |
|
|
|
ÜBERHÖHTES ANZUGSMOMENT UND LOSE TEILE |
|
oBeim Festziehen der Schrauben von Montageklemmen, Gehäuse, Zubehör oder Klemmenleisten darf ein Anzugsmoment von 0,5 Nm (4.5 lb-in) nicht überschritten werden. Übermäßige Kraftanwendung beim Anziehen der Schrauben kann die Montageklemmen beschädigen. oBei der Anbringung bzw. Abnahme von Schrauben ist darauf zu achten, dass diese nicht in das Innere des Magelis Industrial PC-Gehäuses fallen. |
|
Die Nichtbeachtung dieser Anweisungen kann Verletzungen oder Sachschäden zur Folge haben. |
HINWEIS: Vergewissern Sie sich, dass die gesamte Stromzufuhr unterbrochen ist, bevor Sie dieses Verfahren anwenden.
|
Schritt |
Aktion |
|---|---|
|
1 |
Setzen Sie die TPM-Karte ein: 
|
|
Schritt |
Aktion |
|---|---|
|
1 |
Lösen Sie die Schraube: 
|
|
2 |
Setzen Sie die TPM-Karte ein: 
Ziehen Sie die Schraube fest: 
|
TPM-Modulspezifische Kompatibilitätstabelle
|
|
TPM 1.2 |
TPM 2.0 |
|---|---|---|
|
BIOS-Unterstützung |
Vorgänderversion oder UEFI |
UEFI |
|
BitLocker-Unterstützung |
Ja |
Ja |
HINWEIS: Das TPM-Modul ist standardmäßig mit der FW TPM 2.0 ausgestattet. Für den HMIBMU/HMIBMP muss ein Downgrade auf die FW TPM 1.2 durchgeführt werden.
|
Modell |
Standard-BIOS |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
|
HMIBMU/HMIBMP |
Vorhandene Version |
Unterstützung (TPM muss auf die Version 1.2 herabgesetzt werden) |
Keine Unterstützung |
|
HMIBMI/HMIBMO |
UEFI |
Medium |
Medium |
BitLocker ist eine Funktion zur vollständigen Festplattenverschlüsselung von Windows. Sie wurde zum Schutz von Daten durch die Verschlüsselung kompletter Volumes entwickelt. Alle Standard-Betriebssysteme außer WES7 sind mit dieser Funktion ausgestattet, aber wenn die Partition System Reserved mit der Partition C:\ kombiniert wird, kann BitLocker nicht zum Schutz des Laufwerks verwendet werden.
Passworteinstellung für den TPM-Eigentümer
HINWEIS: Für die Eingabe der BitLocker-PIN beim Box-Start ist eine Tastatur erforderlich. Während dieser Phase ist die Touchscreen-Funktion deaktiviert.
|
Schritt |
Aktion |
|---|---|
|
1 |
Öffnen Sie Systemsteuerung → BitLocker Drive Encryption. 
|
|
2 |
Klicken Sie auf TPM Administration um das Eigentümerpasswort zu ändern: Change Owner Password. 
|
|
3 |
Wählen Sie die Option Change Owner Password aus. 
|
|
4 |
Wählen Sie entweder Automatically create the password für eine automatische oder Manually create the password für eine manuelle Passworterstellung aus. 
|
HINWEIS: Wenn mehr als 30 Mal das falsche Passwort eingegeben wird, wird das TPM-Modul gesperrt.
Informationen zum TPM-Eigentümerpasswort
Ab Windows 10, Version 1607, speichert Windows das TPM-Eigentümerpasswort bei der Bereitstellung von TPM nicht. Das Passwort wird auf einen willkürlichen hohen Entropiewert eingestellt und dann ignoriert.
Microsoft-spezifischer Link: https://docs.microsoft.com/en-us/windows/security/hardware-protection/tpm/change-the-tpm-owner-password
|
|
|
UNBEABSICHTIGTER GERÄTEBETRIEB |
|
Halten Sie sich an die Empfehlungen von Microsoft. Es wird nachdrücklich empfohlen, diese Änderung nicht vorzunehmen. Wenn Sie den Registerwert ändern, dann stellen Sie das Passwort manuell ein. Es kann zu Nebenwirkungen kommen und weder Microsoft noch Schneider bietet Garantie und Support. Sie übernehmen die vollständige Verantwortung für das Ergebnis dieser Änderung. |
|
Die Nichtbeachtung dieser Anweisungen kann Verletzungen oder Sachschäden zur Folge haben. |
Aktivieren der BitLocker-Einstellung
HINWEIS: Für die Eingabe der BitLocker-PIN beim Box-Start ist eine Tastatur erforderlich. Während dieser Phase ist die Touchscreen-Funktion deaktiviert.
|
Schritt |
Aktion |
|---|---|
|
1 |
Öffnen Sie Systemsteuerung → BitLocker Drive Encryption.
|
|
2 |
Klicken Sie auf Turn on BitLocker. 
|
|
3 |
Wählen Sie entweder Enter a PIN zur Eingabe der PIN-Nummer, Insert a USB flash drive zum Einführen eines USB-Flash-Laufwerks oder Let BitLocker automatically unlock my drive zur automatischen Entsperrung des Laufwerks durch BitLocker aus. 
HINWEIS: Für die Eingabe der BitLocker-PIN beim Box-Start ist eine Tastatur erforderlich. Während dieser Phase ist die Touchscreen-Funktion deaktiviert. |
|
4 |
Geben Sie eine PIN-Nummer ein. 
|
|
5 |
Wählen Sie die Option Save to your Microsoft account zur Speicherung in Ihrem Microsoft-Konto, Save to a file zur Speicherung in einer Datei oder Print the recovery key zum Ausdrucken des Wiederherstellungsschlüssels aus. 
|
|
6 |
Wählen Sie die Option Encrypt used disk space only zur ausschließlichen Verschlüsselung des genutzten Speicherbereichs oder Encrypt entire drive zur Verschlüsselungs der gesamten Festplatte aus. 
|
|
7 |
Aktivieren Sie die Kontrollkästchen Run BitLocker system check zur Durchführung einer Systemprüfung und wählen Sie Continue aus. 
|
|
8 |
Die nachstehende Abbildung zeigt den Vorgang der Verschlüsselung (Encryption): 
Die Verschlüsselung (Encryption) ist abgeschlossen. 
|
Deaktivieren der BitLocker-Einstellung
|
Schritt |
Aktion |
|---|---|
|
1 |
Öffnen Sie Systemsteuerung → BitLocker Drive Encryption.
|
|
2 |
Klicken Sie auf Turn off BitLocker. 
|
Das TPM-Modul ist standardmäßig mit der Firware TPM 2.0 ausgestattet. Es muss für die Verknüpfung mit HMIPCCU2B/HMIPCCP2B auf die Firmware TPM 1.2 herabgestuft werden.
|
Schritt |
Aktion |
|---|---|
|
1 |
Deaktivieren Sie TPM im BIOS: 1.Gehen Sie zu Advanced > Trusted Computing. 2.Deaktivieren Sie die Option Security Device Support. 
|
|
2 |
Starten Sie den USB-Stick zur Wiederherstellung: 1.Führen Sie einen Bootvorgang über den USB-Wiederherstellungsstick durch. 2.Klicken Sie auf Cancel, um den Wiederherstellungsvorgang zu beenden. 
Starten Sie das TPM-Downgrade-Tool. Drücken Sie Alt + T, um das TPM-Downgrade-Too. zu starten: 
|
|
3 |
Klicken Sie auf Yes, um den Downgrade-Vorgang zu starten. 
|
|
4 |
Der Downgrade-Prozess wird durchgeführt. Drücken Sie nach Abschluss des Prozesses die Eingabetaste, um fortzufahren: 
|
|
5 |
Klicken Sie auf OK, um einen Neustart durchzuführen: 
|
|
6 |
Aktivieren Sie TPM im BIOS: 1.Gehen Sie zu Advanced > Trusted Computing. 2.Aktivieren Sie die Option Security Device Support. 
|
|
7 |
Prüfen Sie die TPM-Version in Windows. oGehen zu Systemsteuerung > BitLocker Drive Encryption > TPM Administrator. oVergewissern Sie sich, dass die TPM-Version 1.2 ist. 
|
Anweisungen zur Aktualisierung der Firmware von TPM 1.2 für Windows 7
|
Schritt |
Aktion |
|---|---|
|
1 |
Aktivieren Sie das Kontrollkästchen, um Ihre Zustimmung zur Lizenzvereinbarung zu geben. 
|
|
2 |
Installieren Sie nach Bedarf den TPM-Wiederherstellungstreiber. HINWEIS: Für die Installation muss der Computer unter Umständen neu gestartet werden. |
|
3 |
Prüfen Sie die Plattformdetails. 
|
|
4 |
Geben Sie das Eigentümerpasswort (Owner Password) oder die Eigentümerpasswort-Backupdatei (Owner Password Backup File) ein, wenn das Eigentümerpasswort vom Betriebssystem nicht verwaltet wird. Führen Sie folgende Schritte aus: oWählen Sie die Option I have the Owner Password Backup File aus. 
oWählen Sie die *.tpm-Datei aus. 
oWählen Sie Next aus. 
|
|
5 |
Führen Sie die Aktualisierung wie nachstehend gezeigt aus: 
|
|
6 |
Starten Sie Ihren Computer neu. HINWEIS: Speichern Sie vor dem Neustart alle noch nicht gespeicherten Daten in sämtlichen Benutzersitzungen, um Datenverlust zu vermeiden. |
Nach der Aktualisierung wird das Löschen und Neuinitialisieren des TPM-Moduls für die Aktualisierungspfade in dieser Version der Infineon-TPM-Firmwareaktualisierung empfohlen. Weitere Informationen finden Sie im Microsoft Security Advisory ADV170012 oder auf folgender Website: www.infineon.com/tpm-update.
|
|
|
HOHE GEFAHR VON DATENVERLUST |
|
Beim Löschen des TPM-Moduls werden die werkseitigen Standardeinstellungen wiederhergestellt. Alle von Ihnen erstellten Schlüssel und die von diesen Schlüsseln geschützten Daten gehen verloren. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Anweisungen zur Aktualisierung der Firmware von TPM 1.2 für Windows 8.1
|
Schritt |
Aktion |
|---|---|
|
1 |
Aktivieren Sie das Kontrollkästchen, um Ihre Zustimmung zur Lizenzvereinbarung zu geben. 
|
|
2 |
Installieren Sie nach Bedarf den TPM-Wiederherstellungstreiber. HINWEIS: Für die Installation muss der Computer unter Umständen neu gestartet werden. |
|
3 |
Prüfen Sie die Plattformdetails. 
|
|
4 |
Führen Sie die Aktualisierung wie nachstehend gezeigt aus: 
|
|
5 |
Starten Sie Ihren Computer neu. HINWEIS: Speichern Sie vor dem Neustart alle noch nicht gespeicherten Daten in sämtlichen Benutzersitzungen, um Datenverlust zu vermeiden. |
Nach der Aktualisierung wird das Löschen und Neuinitialisieren des TPM-Moduls für die Aktualisierungspfade in dieser Version der Infineon-TPM-Firmwareaktualisierung empfohlen. Weitere Informationen finden Sie im Microsoft Security Advisory ADV170012 oder auf folgender Website: www.infineon.com/tpm-update.
|
|
|
HOHE GEFAHR VON DATENVERLUST |
|
Beim Löschen des TPM-Moduls werden die werkseitigen Standardeinstellungen wiederhergestellt. Alle von Ihnen erstellten Schlüssel und die von diesen Schlüsseln geschützten Daten gehen verloren. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Aktualisierung der Firmware von TPM 1.2 für Windows 10
Wenn das Eigentumsrecht für das TPM-Modul unter Windows 10® Version 1607 oder einer späteren Version übergeben wurde, dann wird die Eigentümergenehmigung standardmäßig nicht mehr im lokalen System gespeichert. Weitere Informationen finden Sie im Microsoft article. Um die firmware zu aktualisieren, müssen Sie das TPM-Modul löschen und das Eigentumsrecht mit der geänderten Windows-Einstellung erneut übergeben. Dadurch wird die Eigentümergenehmigung auf dem lokalen System gespeichert.
|
|
|
HOHE GEFAHR VON DATENVERLUST |
|
Beim Löschen des TPM-Moduls werden die werkseitigen Standardeinstellungen wiederhergestellt. Alle von Ihnen erstellten Schlüssel und die von diesen Schlüsseln geschützten Daten gehen verloren. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
|
Schritt |
Aktion |
|---|---|
|
1 |
Stellen Sie den Registrierungsschlüssel HKLM\Software\Policies\Microsoft\TPM [REG_DWORD] OSManagedAuthLevel auf 4 ein. oWählen Sie Run aus und geben Sie den Text „regedit“ wie nachstehend gezeigt ein: 
Klicken Sie auf OK oÄndern Sie den Wert für OSManagedAuthLevel zu 4. 
Klicken Sie auf OK |
|
2 |
Starten Sie tpm.msc und klicken Sie auf Clear TPM.... 
|
|
3 |
Starten Sie den Computer neu. HINWEIS: Speichern Sie vor dem Neustart des Computers alle noch nicht gespeicherten Daten in sämtlichen Benutzersitzungen, um Datenverlust zu vermeiden. |
|
4 |
Starten Sie tpm.msc und klicken Sie auf Prepare the TPM.... 
|
|
5 |
Warten Sie, bis Windows das TPM-Modul vorbereitet hat (Windows speichert die Eigentümergenehmigung im lokalen System). Nach Abschluss der Vorbereitung wird im Statusfeld in tpm.msc folgender Status angezeigt: The TPM is ready. 
|
|
6 |
Führen Sie das Tool zur TPM-Firmwareaktualisierung aus, um die Firmware des TPM-Moduls wie nachstehende gezeigt zu aktualisieren: 
|
|
7 |
Starten Sie den Computer neu. HINWEIS: Speichern Sie vor dem Neustart des Computers alle noch nicht gespeicherten Daten in sämtlichen Benutzersitzungen, um Datenverlust zu vermeiden. |
|
8 |
Stellen Sie den Registrierungsschlüssel HKLM\Software\Policies\Microsoft\TPM [REG_DWORD] OSManagedAuthLevel mit dem vorhergehenden Wert 2 wieder her. 
Klicken Sie auf OK |
|
9 |
Starten Sie tpm.msc und klicken Sie auf Clear TPM.... 
|
|
10 |
Starten Sie den Computer neu. HINWEIS: Speichern Sie vor dem Neustart des Computers alle noch nicht gespeicherten Daten in sämtlichen Benutzersitzungen, um Datenverlust zu vermeiden. |
|
11 |
Starten Sie tpm.msc und klicken Sie auf Prepare the TPM.... 
|
|
12 |
Warten Sie, bis Windows das TPM-Modul vorbereitet hat (mithilfe der Sicherheitsmaßnahmen von Windows 10). Nach Abschluss der Vorbereitung wird im Statusfeld in tpm.msc folgender Status angezeigt: The TPM is ready for use. 
Vergewissern Sie sich, dass die Herstellerversion 4.43 ist. |
