다음을 통해 공유


TPM 그룹 정책 설정

이 문서에서는 그룹 정책 설정을 사용하여 중앙에서 제어할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈) 서비스에 대해 설명합니다. TPM 서비스에 대한 그룹 정책 설정은 컴퓨터 구성>관리 템플릿>시스템>신뢰할 수 있는 플랫폼 모듈 서비스 아래에 있습니다.

차단된 TPM 명령 목록 구성

이 정책 설정을 사용하면 Windows에서 차단한 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 그룹 정책 목록을 관리할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 지정된 명령이 컴퓨터의 TPM으로 전송되지 않도록 차단합니다. TPM 명령은 명령 번호로 참조됩니다. 예를 들어 명령 번호 129 는 이 TPM_OwnerReadInternalPub고 명령 번호 170 는 입니다 TPM_FieldUpgrade.

이 정책 설정을 사용하지 않거나 구성하지 않으면 기본 또는 로컬 목록을 통해 지정된 TPM 명령만 Windows에서 차단할 수 있습니다. 차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. 를 실행 tpm.msc하여 "명령 관리" 섹션으로 이동하고 "기본 블록 목록의" 열을 표시하여 기본 목록을 볼 수 있습니다. 차단된 TPM 명령의 로컬 목록은 실행하거나 Win32_Tpm 인터페이스에 tpm.msc 대한 스크립팅을 통해 그룹 정책 외부에서 구성됩니다.

준비 상태가 아닌 경우 TPM을 지우도록 시스템을 구성합니다.

이 정책 설정은 TPM이 준비 이외의 상태에 있는 것으로 감지되면 사용자에게 TPM을 지우라는 메시지를 표시하도록 시스템을 구성합니다. 이 정책은 TPM이 "준비됨, 축소된 기능"인 경우를 포함하여 시스템의 TPM이 Ready 이외의 상태에 있는 경우에만 적용됩니다. 로그인한 사용자가 시스템에 대한 관리자 그룹의 일부인 경우에만 사용자가 로그인할 때 TPM을 지우라는 메시지가 다음 다시 부팅 후에 시작됩니다. 프롬프트를 해제할 수 있지만 정책을 사용하지 않도록 설정하거나 TPM이 준비 상태가 될 때까지 다시 부팅하고 로그인할 때마다 다시 나타납니다.

차단된 TPM 명령의 기본 목록 무시

이 정책 설정을 사용하면 컴퓨터의 차단된 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 로컬 목록을 적용하거나 무시할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 Windows는 컴퓨터의 차단된 TPM 명령의 로컬 목록을 무시하고 그룹 정책 또는 기본 목록에 지정된 TPM 명령만 차단합니다.

차단된 TPM 명령의 로컬 목록은 실행하거나 인터페이스에 tpm.msc 대한 Win32_Tpm 스크립팅을 통해 그룹 정책 외부에서 구성됩니다. 차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. 차단된 TPM 명령의 그룹 정책 목록을 구성하려면 관련 정책 설정을 참조하세요.

이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows는 그룹 정책의 명령과 차단된 TPM 명령의 기본 목록 외에도 로컬 목록에 있는 TPM 명령을 차단합니다.

차단된 TPM 명령의 로컬 목록 무시

이 정책 설정은 로컬 컴퓨터의 레지스트리에 저장된 TPM 소유자 권한 부여 정보의 양을 구성합니다. 로컬에 저장된 TPM 소유자 권한 부여 정보의 양에 따라 운영 체제 및 TPM 기반 애플리케이션은 사용자가 TPM 소유자 암호를 입력할 필요 없이 TPM 소유자 권한 부여가 필요한 특정 TPM 작업을 수행할 수 있습니다.

운영 체제에서 전체 TPM 소유자 권한 부여 값, TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob을 저장하도록 선택할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 Windows는 선택한 운영 체제 관리 TPM 인증 설정에 따라 로컬 컴퓨터의 레지스트리에 TPM 소유자 권한 부여를 저장합니다.

"전체"의 운영 체제 관리 TPM 인증 설정을 선택하여 전체 TPM 소유자 권한 부여, TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob을 로컬 레지스트리에 저장합니다. 이 설정을 사용하면 TPM 소유자 권한 부여 값의 원격 또는 외부 스토리지 없이 TPM을 사용할 수 있습니다. 이 설정은 TPM 망치 방지 논리의 재설정을 방지하거나 TPM 소유자 권한 부여 값을 변경하는 데 의존하지 않는 시나리오에 적합합니다. 일부 TPM 기반 애플리케이션은 TPM 망치 방지 논리를 사용하는 기능을 사용하기 전에 이 설정을 변경해야 할 수 있습니다.

"위임됨"의 운영 체제 관리 TPM 인증 설정을 선택하여 TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob만 로컬 레지스트리에 저장합니다. 이 설정은 TPM 망치 방지 논리에 의존하는 TPM 기반 애플리케이션에 사용하기에 적합합니다.

이전 운영 체제 및 애플리케이션과의 호환성을 위해 또는 TPM 소유자 권한 부여가 로컬로 저장되지 않는 시나리오에서 사용하려면 "없음"의 운영 체제 관리 TPM 인증 설정을 선택합니다. 이 설정을 사용하면 일부 TPM 기반 애플리케이션에 문제가 발생할 수 있습니다.

참고

운영 체제 관리 TPM 인증 설정이 "전체"에서 "위임됨"으로 변경되면 전체 TPM 소유자 권한 부여 값이 다시 생성되고 원래 TPM 소유자 권한 부여 값의 복사본이 무효화됩니다.

운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성

중요

Windows 10 버전 1703부터 기본값은 5입니다. 이 값은 다른 Windows 구성 요소가 시스템 구성에 따라 삭제하거나 소유권을 가져올 수 있도록 프로비전하는 동안 구현됩니다. TPM 2.0의 경우 값이 5이면 잠금 권한 부여를 유지합니다. TPM 1.2의 경우 전체 TPM 소유자 권한 부여를 취소하고 위임된 권한 부여만 유지한다는 의미입니다.

이 정책 설정은 로컬 컴퓨터의 레지스트리에 저장되는 TPM 권한 부여 값을 구성했습니다. Windows에서 특정 작업을 수행할 수 있도록 하려면 특정 권한 부여 값이 필요합니다.

TPM 1.2 값 TPM 2.0 값 용도 수준 0에서 유지? 수준 2에 유지? 수준 4에서 유지?
OwnerAuthAdmin StorageOwnerAuth SRK 만들기 아니오
OwnerAuthEndorsement EndorsementAuth EK 만들기 또는 사용(1.2만 해당: AIK 만들기) 아니오
OwnerAuthFull LockoutAuth 사전 공격 보호 다시 설정/변경 아니오 아니오

Windows 운영 체제에서 관리하는 세 가지 TPM 소유자 인증 설정이 있습니다. 전체, 대리자 또는 없음 값을 선택할 수 있습니다.

  • 전체: 이 설정은 전체 TPM 소유자 권한 부여, TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob을 로컬 레지스트리에 저장합니다. 이 설정을 사용하면 TPM 소유자 권한 부여 값의 원격 또는 외부 스토리지 없이 TPM을 사용할 수 있습니다. 이 설정은 TPM 망치 방지 논리를 다시 설정하거나 TPM 소유자 권한 부여 값을 변경할 필요가 없는 시나리오에 적합합니다. 일부 TPM 기반 애플리케이션은 TPM 망치 방지 논리에 의존하는 기능을 사용하기 전에 이 설정을 변경해야 할 수 있습니다. TPM 1.2의 전체 소유자 권한 부여는 TPM 2.0의 잠금 권한 부여와 유사합니다. 소유자 권한 부여는 TPM 2.0에 대해 다른 의미가 있습니다.

  • 위임됨: 이 설정은 로컬 레지스트리에 TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob만 저장합니다. 이 설정은 TPM 앤티해머링 방지 논리에 의존하는 TPM 기반 애플리케이션에 사용하기에 적합합니다. 이는 버전 1703 이전 Windows의 기본 설정입니다.

  • 없음: 이 설정은 이전 운영 체제 및 애플리케이션과의 호환성을 제공합니다. TPM 소유자 권한 부여를 로컬로 저장할 수 없는 시나리오에도 사용할 수 있습니다. 이 설정을 사용하면 일부 TPM 기반 애플리케이션에 문제가 발생할 수 있습니다.

참고

운영 체제 관리 TPM 인증 설정이 전체 에서 위임됨으로 변경되면 전체 TPM 소유자 권한 부여 값이 다시 생성되고 이전에 설정된 TPM 소유자 권한 부여 값의 복사본이 잘못됩니다.

레지스트리 정보

레지스트리 키: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

다음 표에는 레지스트리의 TPM 소유자 권한 부여 값이 나와 있습니다.

값 데이터 설정
0 없음
2 위임
4 전체

이 정책 설정을 사용하도록 설정하면 Windows 운영 체제는 선택한 TPM 인증 설정에 따라 TPM 소유자 권한 부여를 로컬 컴퓨터의 레지스트리에 저장합니다.

버전 1607 이전의 Windows 10에서 이 정책 설정을 사용하지 않거나 구성하지 않고 Active Directory Domain Services에 TPM 백업 켜기 정책 설정도 사용하지 않도록 설정되거나 구성되지 않은 경우 기본 설정은 전체 TPM 권한 부여 값을 로컬 레지스트리에 저장하는 것입니다. 이 정책을 사용하지 않거나 구성하지 않고 Active Directory Domain Services에 TPM 백업 켜기 정책 설정이 활성화된 경우 관리 위임 및 사용자 위임 Blob만 로컬 레지스트리에 저장됩니다.

표준 사용자 잠금 기간

이 정책 설정을 사용하면 권한 부여가 필요한 TPM(신뢰할 수 있는 플랫폼 모듈) 명령에 대한 표준 사용자 권한 부여 실패를 계산하기 위한 기간을 분 단위로 관리할 수 있습니다. 인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 설정한 기간보다 오래된 권한 부여 실패는 무시됩니다. 잠금 기간 내에 권한 부여 실패가 있는 TPM 명령 수가 임계값과 같으면 표준 사용자가 TPM에 대한 권한 부여가 필요한 명령을 보낼 수 없습니다.

TPM은 잘못된 권한 부여 값으로 너무 많은 명령을 수신할 때 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 자신을 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 모든 사용자(관리자 포함)와 BitLocker 드라이브 암호화와 같은 Windows 기능에 대해 전역입니다.

이 설정을 통해 관리자는 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도를 늦추어 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.

각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값을 초과하면 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없습니다. 다음 정책 설정을 사용하여 잠금 기간을 설정합니다.

  • 표준 사용자 개별 잠금 임계값: 이 값은 사용자가 TPM에 대한 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다.
  • 표준 사용자 총 잠금 임계값: 이 값은 모든 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 모든 표준 사용자가 가질 수 있는 최대 총 권한 부여 실패 수입니다.

TPM 소유자 암호를 가진 관리자는 Windows Defender 보안 센터를 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 이렇게 하면 표준 사용자가 TPM을 정상적으로 즉시 사용할 수 있습니다.

이 정책 설정을 구성하지 않으면 기본값인 480분(8시간)이 사용됩니다.

표준 사용자 개별 잠금 임계값

이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)의 각 표준 사용자에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 이 값은 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다. 표준 사용자 잠금 기간 정책 설정에 대해 설정된 기간 내 사용자의 권한 부여 실패 수가 이 값과 같으면 표준 사용자는 TPM(신뢰할 수 있는 플랫폼 모듈)에 권한 부여가 필요한 명령을 보낼 수 없습니다.

이 설정을 통해 관리자는 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도를 늦추어 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.

인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 기간보다 오래된 권한 부여 실패는 무시됩니다.

TPM 소유자 암호를 가진 관리자는 Windows Defender 보안 센터를 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 이렇게 하면 표준 사용자가 TPM을 정상적으로 즉시 사용할 수 있습니다.

이 정책 설정을 구성하지 않으면 기본값인 4가 사용됩니다. 값이 0이면 운영 체제에서 표준 사용자가 TPM에 명령을 보낼 수 없으므로 권한 부여 실패가 발생할 수 있습니다.

표준 사용자 총 잠금 임계값

이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)의 모든 표준 사용자에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 표준 사용자 잠금 기간 정책에 대해 설정된 기간 내의 모든 표준 사용자에 대한 총 권한 부여 실패 수가 이 값과 같으면 모든 표준 사용자가 TPM(신뢰할 수 있는 플랫폼 모듈)에 권한 부여가 필요한 명령을 보낼 수 없습니다.

이 설정을 사용하면 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도가 느려지기 때문에 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.

인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 기간보다 오래된 권한 부여 실패는 무시됩니다.

TPM 소유자 암호를 가진 관리자는 Windows Defender 보안 센터를 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 이렇게 하면 표준 사용자가 TPM을 정상적으로 즉시 사용할 수 있습니다.

이 정책 설정을 구성하지 않으면 기본값인 9가 사용됩니다. 값이 0이면 운영 체제에서 표준 사용자가 TPM에 명령을 보낼 수 없으므로 권한 부여 실패가 발생할 수 있습니다.

TPM 2.0에 대한 레거시 사전 공격 방지 매개 변수 설정을 사용하도록 시스템 구성

Windows 10 버전 1703에서 도입된 이 정책 설정은 사전 공격 방지 매개 변수(잠금 임계값 및 복구 시간)를 Windows 10 버전 1607 이하에 사용된 값으로 사용하도록 TPM을 구성합니다.

중요

이 정책 설정은 다음 경우에만 적용됩니다.

  • TPM은 원래 Windows 10 버전 1607 이후의 Windows 버전을 사용하여 준비되었습니다.
  • 시스템에 TPM 2.0이 있습니다.

참고

이 정책을 사용하도록 설정하면 TPM 유지 관리 작업이 실행된 후에만 적용됩니다(일반적으로 시스템을 다시 시작한 후에 발생). 시스템에서 이 정책을 사용하도록 설정하고(시스템을 다시 시작한 후) 사용하지 않도록 설정하면 영향을 주지 않으며 이 그룹 정책의 값에 관계없이 레거시 사전 공격 방지 매개 변수를 사용하여 시스템의 TPM이 구성된 상태로 유지됩니다. 이 정책의 비활성화된 설정을 한 번 사용하도록 설정한 시스템에 적용할 수 있는 유일한 방법은 다음 중 하나를 사용하는 것입니다.

  • 그룹 정책에서 사용하지 않도록 설정
  • 시스템에서 TPM 지우기

Windows 보안의 TPM 그룹 정책 설정

Windows 보안에서 사용자가 TPM에 대해 보는 내용을 변경할 수 있습니다. Windows 보안의 TPM 영역에 대한 그룹 정책 설정은 컴퓨터 구성관리 템플릿>Windows 구성> 요소 >Windows 보안>디바이스 보안 아래에 있습니다.

TPM 지우기 단추 사용 안 함

사용자가 Windows 보안에서 TPM 지우기 단추를 선택할 수 없도록 하려면 이 그룹 정책 설정을 사용하여 사용하지 않도록 설정할 수 있습니다. 사용을 선택하여 TPM 지우기 단추를 사용할 수 없도록 합니다.

TPM 펌웨어 업데이트 권장 사항 숨기기

사용자가 TPM 펌웨어를 업데이트하는 권장 사항을 볼 수 없도록 하려면 이 설정을 사용하여 사용하지 않도록 설정할 수 있습니다. 취약한 펌웨어 가 검색될 때 사용자가 TPM 펌웨어를 업데이트하는 권장 사항을 볼 수 없도록 하려면 사용을 선택합니다.