Condividi tramite

Blocco dei comandi

  • Articolo

Per mantenere l'integrità delle operazioni, alcuni comandi TPM non possono essere eseguiti dal software nella piattaforma. Ad esempio, alcuni comandi vengono eseguiti solo dal software di sistema. Quando TBS blocca un comando, viene restituito un errore in base alle esigenze. Per impostazione predefinita, il TBS blocca i comandi che potrebbero influire sulla privacy, la sicurezza e la stabilità del sistema. Il TBS presuppone inoltre che altre parti dello stack software possano limitare l'accesso a determinati comandi a entità autorizzate.

Per i comandi TPM versione 1.2, sono disponibili tre elenchi di comandi bloccati: un elenco controllato da criteri di gruppo, un elenco controllato dagli amministratori locali e un elenco predefinito. Un comando TPM viene bloccato se si trova in uno degli elenchi. Esistono tuttavia flag di Criteri di gruppo per consentire a TBS di ignorare l'elenco locale e l'elenco predefinito. I flag di Criteri di gruppo possono essere modificati direttamente o accessibili tramite l'Editor oggetti Criteri di gruppo.

Nota

L'elenco dei comandi bloccati in locale non viene mantenuto dopo un aggiornamento al sistema operativo. I comandi bloccati nell'elenco Criteri di gruppo vengono mantenuti.

 

Per i comandi TPM versione 2.0, la logica per il blocco viene invertita; usa un elenco di comandi consentiti. Questa logica blocca automaticamente i comandi non noti al momento della creazione dell'elenco. Quando i comandi vengono aggiunti alla specifica TPM dopo la distribuzione di una versione di Windows, questi nuovi comandi vengono bloccati automaticamente. Solo un aggiornamento del Registro di sistema aggiungerà questi nuovi comandi all'elenco dei comandi consentiti.

A partire da Windows 10 1809 (Windows Server 2019), i comandi TPM 2.0 consentiti non possono più essere modificati tramite le impostazioni del Registro di sistema. Per queste versioni di Windows 10, i comandi TPM 2.0 consentiti sono corretti nel driver TPM. I comandi TPM 1.2 possono comunque essere bloccati e sbloccati tramite modifiche del Registro di sistema.

Accesso diretto al Registro di sistema

I flag di Criteri di gruppo si trovano nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\Criteri di\software\Microsoft\Tpm\BlockedCommands.

Per determinare quali elenchi devono essere usati per bloccare i comandi TPM, esistono due valori DWORD usati come flag booleani:

  • "IgnoreDefaultList"

    Se impostato (il valore esiste e è diverso da zero), TBS ignora l'elenco dei comandi bloccati predefiniti.

  • "IgnoreLocalList"

    Se impostato (il valore esiste e è diverso da zero), IL TBS ignora l'elenco dei comandi bloccati locali.

Editor oggetti Criteri di gruppo

Per accedere all'editor oggetti Criteri di gruppo

  1. Fare clic su Start.
  2. Fare clic su Esegui.
  3. Nella casella Apri digitare gpedit.msc. Fare clic su OK. Verrà aperto l'editor di oggetti Criteri di gruppo.
  4. Espandere Configurazione computer.
  5. Espandere Modelli amministrativi.
  6. Espandere System.
  7. Espandere Trusted Platform Module Services.

Gli elenchi di comandi TPM1.2 bloccati specifici possono essere modificati direttamente nelle posizioni seguenti.

  • Elenco criteri di gruppo:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Elenco locale:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Elenco predefinito:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

In ognuna di queste chiavi del Registro di sistema è presente un elenco di valori del Registro di sistema di REG_SZ tipo. Ogni valore rappresenta un comando TPM bloccato. Ogni chiave del Registro di sistema ha un campo "Nome valore" e un campo "Dati valore". Entrambi i campi ("Nome valore" e "Dati valore"), devono corrispondere esattamente al valore decimale del ordinale del comando TPM da bloccare.

L'elenco di comandi TPM 2.0 consentiti specifici può essere modificato direttamente nel percorso seguente. Nella chiave del Registro di sistema è presente un elenco di valori del Registro di sistema di REG_DWORD tipo. Ogni valore rappresenta un comando TPM 2.0 consentito. Ogni valore del Registro di sistema ha un nome e un valore campo. Il nome corrisponde al numero ordinale del comando TPM 2.0 esadecimale che deve essere consentito. Il valore ha un valore pari a 1 se il comando è consentito. Se un ordinale di comando non è presente o ha un valore pari a 0, il comando verrà bloccato.

  • Elenco predefinito:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Per Windows 8, Windows Server 2012 e versioni successive, i BlockedCommands e AllowedW8Commands chiavi del Registro di sistema determinano rispettivamente i comandi TPM bloccati o consentiti per gli account amministratore. Gli account utente hanno un elenco di comandi TPM bloccati o consentiti rispettivamente nei BlockedUserCommands e AllowedW8UserCommands chiavi del Registro di sistema. In Windows 10 versione 1607 sono state introdotte nuove chiavi del Registro di sistema per le applicazioni AppContainer: BlockedAppContainerCommands e AllowedW8AppContainerCommands.