Condividi tramite


Impostazioni di Criteri di gruppo per TPM

Questo articolo descrive i servizi TPM (Trusted Platform Module) che possono essere controllati centralmente usando le impostazioni di Criteri di gruppo. Le impostazioni di Criteri di gruppo per i servizi TPM si trovano in Configurazione> computerModelli> amministrativiSystem>Trusted Platform Module Services.

Configurare l'elenco dei comandi TPM bloccati

Questa impostazione di criterio consente di gestire l'elenco di Criteri di gruppo dei comandi TPM (Trusted Platform Module) bloccati da Windows.

Se si abilita questa impostazione di criterio, Windows blocca l'invio dei comandi specificati al TPM nel computer. Ai comandi TPM viene fatto riferimento da un numero di comando. Ad esempio, il numero di 129 comando è TPM_OwnerReadInternalPube il numero di 170 comando è TPM_FieldUpgrade.

Se disabiliti o non configuri questa impostazione di criterio, Windows potrebbe bloccare solo i comandi TPM specificati tramite gli elenchi predefiniti o locali. L'elenco predefinito dei comandi TPM bloccati è preconfigurato da Windows. È possibile visualizzare l'elenco predefinito eseguendo tpm.msc, passando alla sezione "Gestione comandi" e rendendo visibile la colonna "On Default Block List". L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo tpm.msc o tramite script sull'interfaccia Win32_Tpm.

Configurare il sistema per cancellare il TPM se non è pronto

Questa impostazione di criterio configura il sistema per richiedere all'utente di cancellare il TPM se viene rilevato che il TPM si trova in uno stato diverso da Pronto. Questo criterio ha effetto solo se il TPM del sistema si trova in uno stato diverso da Pronto, incluso se il TPM è "Pronto, con funzionalità ridotte". La richiesta di cancellazione del TPM verrà avviata dopo il riavvio successivo, all'accesso utente solo se l'utente connesso fa parte del gruppo Administrators per il sistema. La richiesta può essere ignorata, ma verrà nuovamente visualizzata dopo ogni riavvio e accesso fino a quando il criterio non viene disabilitato o finché il TPM non è in uno stato Pronto.

Ignorare l'elenco predefinito di comandi TPM bloccati

Questa impostazione di criterio consente di applicare o ignorare l'elenco locale del computer di comandi TPM (Trusted Platform Module) bloccati.

Se si abilita questa impostazione di criterio, Windows ignora l'elenco locale dei comandi TPM bloccati del computer e blocca solo i comandi TPM specificati da Criteri di gruppo o dall'elenco predefinito.

L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo tpm.msc o tramite script sull'interfaccia Win32_Tpm . L'elenco predefinito dei comandi TPM bloccati è preconfigurato da Windows. Vedere l'impostazione dei criteri correlata per configurare l'elenco di Criteri di gruppo dei comandi TPM bloccati.

Se si disabilita o non si configura questa impostazione di criterio, Windows blocca i comandi TPM presenti nell'elenco locale, oltre ai comandi nei Criteri di gruppo e negli elenchi predefiniti dei comandi TPM bloccati.

Ignorare l'elenco locale dei comandi TPM bloccati

Questa impostazione di criterio consente di configurare la quantità di informazioni sull'autorizzazione del proprietario del TPM archiviate nel Registro di sistema del computer locale. A seconda della quantità di informazioni sull'autorizzazione del proprietario di TPM archiviate in locale, il sistema operativo e le applicazioni basate su TPM possono eseguire determinate azioni TPM, che richiedono l'autorizzazione del proprietario di TPM senza richiedere all'utente di immettere la password del proprietario del TPM.

È possibile scegliere di avere l'archivio del sistema operativo con il valore completo di autorizzazione del proprietario del TPM, il BLOB di delega amministrativa TPM più il BLOB di delega utente TPM o nessuno.

Se si abilita questa impostazione di criterio, Windows archivia l'autorizzazione del proprietario del TPM nel Registro di sistema del computer locale in base all'impostazione di autenticazione TPM gestita dal sistema operativo scelta.

Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo "Completa" per archiviare l'autorizzazione completa del proprietario del TPM, il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione consente l'uso del TPM senza richiedere l'archiviazione remota o esterna del valore di autorizzazione del proprietario del TPM. Questa impostazione è appropriata per gli scenari che non dipendono dalla prevenzione della reimpostazione della logica anti-hammering TPM o dalla modifica del valore di autorizzazione del proprietario del TPM. Alcune applicazioni basate su TPM possono richiedere che questa impostazione venga modificata prima che sia possibile usare le funzionalità, che dipendono dalla logica di anti-hammering TPM.

Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo di "Delegato" per archiviare solo il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione è appropriata per l'uso con applicazioni basate su TPM che dipendono dalla logica anti-hammering TPM.

Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo di "Nessuno" per la compatibilità con i sistemi operativi e le applicazioni precedenti o per l'uso con scenari che richiedono l'autorizzazione del proprietario del TPM non archiviati in locale. L'uso di questa impostazione potrebbe causare problemi con alcune applicazioni basate su TPM.

Nota

Se l'impostazione di autenticazione TPM gestita dal sistema operativo viene modificata da "Full" a "Delegated", il valore completo dell'autorizzazione del proprietario del TPM viene rigenerato e tutte le copie del valore di autorizzazione del proprietario del TPM originale vengono invalidate.

Configurare il livello di informazioni sull'autorizzazione del proprietario di TPM disponibili per il sistema operativo

Importante

A partire da Windows 10 versione 1703, il valore predefinito è 5. Questo valore viene implementato durante il provisioning in modo che un altro componente windows possa eliminarlo o assumerne la proprietà, a seconda della configurazione del sistema. Per TPM 2.0, un valore pari a 5 significa mantenere l'autorizzazione di blocco. Per TPM 1.2, significa eliminare l'autorizzazione del proprietario TPM completo e conservare solo l'autorizzazione delegata.

Questa impostazione di criterio ha configurato i valori di autorizzazione TPM archiviati nel Registro di sistema del computer locale. Alcuni valori di autorizzazione sono necessari per consentire a Windows di eseguire determinate azioni.

Valore TPM 1.2 Valore TPM 2.0 Scopo Mantenuto al livello 0? Mantenuto al livello 2? Al livello 4?
OwnerAuthAdmin StorageOwnerAuth Creare SRK No
OwnerAuthEndorsement EndorsementAuth Creare o usare EK (solo 1.2: Creare AIK) No
OwnerAuthFull LockoutAuth Reimpostare/modificare la protezione da attacchi del dizionario No No

Sono disponibili tre impostazioni di autenticazione del proprietario del TPM gestite dal sistema operativo Windows. È possibile scegliere un valore completo, delegato o Nessuno.

  • Completa: questa impostazione archivia l'autorizzazione completa del proprietario di TPM, il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Con questa impostazione, è possibile usare il TPM senza richiedere l'archiviazione remota o esterna del valore di autorizzazione del proprietario del TPM. Questa impostazione è appropriata per scenari che non richiedono la reimpostazione della logica anti-hammering TPM o la modifica del valore di autorizzazione del proprietario del TPM. Alcune applicazioni basate su TPM potrebbero richiedere che questa impostazione venga modificata prima di poter usare le funzionalità che dipendono dalla logica di anti-hammering TPM. L'autorizzazione completa del proprietario in TPM 1.2 è simile all'autorizzazione di blocco in TPM 2.0. L'autorizzazione del proprietario ha un significato diverso per TPM 2.0.

  • Delegata: questa impostazione archivia solo il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione è appropriata per l'uso con applicazioni basate su TPM che dipendono dalla logica di antihammering TPM. Questa è l'impostazione predefinita in Windows precedente alla versione 1703.

  • Nessuno: questa impostazione garantisce la compatibilità con i sistemi operativi e le applicazioni precedenti. È anche possibile usarlo per scenari in cui l'autorizzazione del proprietario di TPM non può essere archiviata in locale. L'uso di questa impostazione potrebbe causare problemi con alcune applicazioni basate su TPM.

Nota

Se l'impostazione di autenticazione TPM gestita dal sistema operativo viene modificata da Completa a Delegata, il valore completo dell'autorizzazione del proprietario del TPM verrà rigenerato e le copie del valore di autorizzazione del proprietario TPM impostato in precedenza non saranno valide.

Informazioni del Registro di sistema

Chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

La tabella seguente mostra i valori di autorizzazione del proprietario TPM nel Registro di sistema.

Dati valore Impostazione
0 Nessuno
2 Delegato
4 Completo

Se si abilita questa impostazione di criterio, il sistema operativo Windows archivia l'autorizzazione del proprietario TPM nel Registro di sistema del computer locale in base all'impostazione di autenticazione TPM scelta.

In Windows 10 precedente alla versione 1607, se si disabilita o non si configura questa impostazione di criterio e l'impostazione dei criteri Attiva backup TPM in Servizi di dominio Active Directory è disabilitata o non configurata, l'impostazione predefinita consiste nell'archiviare il valore di autorizzazione TPM completo nel Registro di sistema locale. Se questo criterio è disabilitato o non configurato e l'impostazione dei criteri Attiva backup TPM in Active Directory Domain Services è abilitata, solo la delega amministrativa e i BLOB di delega utente vengono archiviati nel Registro di sistema locale.

Durata blocco utente standard

Questa impostazione di criterio consente di gestire la durata in minuti per il conteggio degli errori di autorizzazione utente standard per i comandi TPM (Trusted Platform Module) che richiedono l'autorizzazione. Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata impostata vengono ignorati. Se il numero di comandi TPM con un errore di autorizzazione entro la durata del blocco è uguale a una soglia, a un utente standard viene impedito di inviare comandi che richiedono l'autorizzazione al TPM.

Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti (inclusi gli amministratori) e per le funzionalità di Windows, ad esempio Crittografia unità BitLocker.

Questa impostazione consente agli amministratori di impedire all'hardware TPM di entrare in modalità di blocco rallentando la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Per ogni utente standard si applicano due soglie. Il superamento di una soglia impedisce all'utente di inviare un comando che richiede l'autorizzazione al TPM. Usare le impostazioni dei criteri seguenti per impostare la durata del blocco:

  • Soglia di blocco individuale utente standard: questo valore corrisponde al numero massimo di errori di autorizzazione che ogni utente standard può avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
  • Soglia di blocco totale utente standard: questo valore è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard possono avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando Windows Defender Security Center. Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati. Ciò consente agli utenti standard di usare immediatamente il TPM normalmente.

Se non si configura questa impostazione di criterio, viene usato un valore predefinito di 480 minuti (8 ore).

Soglia di blocco individuale utente standard

Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per ogni utente standard per il modulo TPM (Trusted Platform Module). Questo valore è il numero massimo di errori di autorizzazione che ogni utente standard può avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM. Se il numero di errori di autorizzazione per l'utente entro la durata impostata per l'impostazione del criterio Durata blocco utente standard è uguale a questo valore, all'utente standard viene impedito di inviare comandi che richiedono l'autorizzazione al modulo TPM (Trusted Platform Module).

Questa impostazione consente agli amministratori di impedire all'hardware TPM di entrare in modalità di blocco rallentando la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando Windows Defender Security Center. Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati. Ciò consente agli utenti standard di usare immediatamente il TPM normalmente.

Se non si configura questa impostazione di criterio, viene usato il valore predefinito 4. Il valore zero indica che il sistema operativo non consente agli utenti standard di inviare comandi al TPM, il che potrebbe causare un errore di autorizzazione.

Soglia di blocco totale utente standard

Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per tutti gli utenti standard per il modulo TPM (Trusted Platform Module). Se il numero totale di errori di autorizzazione per tutti gli utenti standard entro la durata impostata per il criterio Durata blocco utente standard è uguale a questo valore, a tutti gli utenti standard viene impedito di inviare comandi che richiedono l'autorizzazione al modulo TPM (Trusted Platform Module).

Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando Windows Defender Security Center. Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati. Ciò consente agli utenti standard di usare immediatamente il TPM normalmente.

Se non si configura questa impostazione di criterio, viene usato il valore predefinito 9. Il valore zero indica che il sistema operativo non consente agli utenti standard di inviare comandi al TPM, il che potrebbe causare un errore di autorizzazione.

Configurare il sistema per l'uso dell'impostazione dei parametri di prevenzione degli attacchi del dizionario legacy per TPM 2.0

Introdotta in Windows 10, versione 1703, questa impostazione di criterio configura il TPM in modo da usare i parametri di prevenzione degli attacchi del dizionario (soglia di blocco e tempo di ripristino) per i valori usati per Windows 10 versione 1607 e successive.

Importante

L'impostazione di questo criterio avrà effetto solo se:

  • Il TPM è stato originariamente preparato usando una versione di Windows dopo Windows 10 versione 1607
  • Il sistema ha un TPM 2.0.

Nota

L'abilitazione di questo criterio avrà effetto solo dopo l'esecuzione dell'attività di manutenzione TPM (che in genere si verifica dopo un riavvio del sistema). Dopo che questo criterio è stato abilitato in un sistema ed è diventato effettivo (dopo il riavvio del sistema), la disabilitazione non avrà alcun impatto e il TPM del sistema rimarrà configurato usando i parametri di prevenzione degli attacchi del dizionario legacy, indipendentemente dal valore di questo criterio di gruppo. Gli unici modi in cui l'impostazione disabilitata di questo criterio ha effetto su un sistema in cui è stata abilitata una volta sono:

  • Disabilitarlo da Criteri di gruppo
  • Cancellare il TPM nel sistema

Impostazioni di Criteri di gruppo TPM in Sicurezza di Windows

È possibile modificare le informazioni visualizzate dall'utente su TPM in Sicurezza di Windows. Le impostazioni di Criteri di gruppo per l'area TPM in Sicurezza di Windows si trovano in Configurazione> computerModelli> amministrativiComponenti> di WindowsSicurezza di Windows Sicurezza>del dispositivo.

Disabilitare il pulsante Cancella TPM

Se non vuoi che gli utenti possano selezionare il pulsante Cancella TPM in Sicurezza di Windows, puoi disabilitarlo con questa impostazione di Criteri di gruppo. Selezionare Abilitato per rendere il pulsante Cancella TPM non disponibile per l'uso.

Nascondere la raccomandazione per l'aggiornamento del firmware TPM

Se non si vuole che gli utenti vedano la raccomandazione di aggiornare il firmware TPM, è possibile disabilitarlo con questa impostazione. Selezionare Abilitato per impedire agli utenti di visualizzare una raccomandazione per aggiornare il firmware TPM quando viene rilevato un firmware vulnerabile.