Compartilhar via

Bloqueio de comando

  • Artigo

Para preservar a integridade das operações, determinados comandos TPM não têm permissão para serem executados pelo software na plataforma. Por exemplo, alguns comandos são executados apenas pelo software do sistema. Quando o TBS bloqueia um comando, um erro é retornado conforme apropriado. Por padrão, o TBS bloqueia comandos que podem afetar a privacidade, a segurança e a estabilidade do sistema. O TBS também pressupõe que outras partes da pilha de software podem restringir o acesso a determinados comandos a entidades autorizadas.

Para comandos do TPM versão 1.2, há três listas de comandos bloqueados: uma lista controlada pela política de grupo, uma lista controlada por administradores locais e uma lista padrão. Um comando TPM será bloqueado se estiver em qualquer uma das listas. No entanto, há sinalizadores de política de grupo para permitir que o TBS ignore a lista local e a lista padrão. Os sinalizadores de política de grupo podem ser editados diretamente ou acessados por meio do Editor de Objetos do Política de Grupo.

Observação

A lista de comandos bloqueados localmente não é preservada após uma atualização para o sistema operacional. Os comandos bloqueados na lista de Política de Grupo são preservados.

 

Para comandos do TPM versão 2.0, a lógica de bloqueio é invertida; ele usa uma lista de comandos permitidos. Essa lógica bloqueará automaticamente comandos que não eram conhecidos quando a lista foi feita pela primeira vez. Quando os comandos são adicionados à especificação do TPM depois que uma versão do Windows é enviada, esses novos comandos são bloqueados automaticamente. Somente uma atualização do registro adicionará esses novos comandos à lista de comandos permitidos.

A partir do Windows 10 1809 (Windows Server 2019), os comandos TPM 2.0 permitidos não podem mais ser manipulados por meio de configurações do Registro. Para essas Windows 10 versões, os comandos TPM 2.0 permitidos são corrigidos no driver TPM. Os comandos do TPM 1.2 ainda podem ser bloqueados e desbloqueados por meio de alterações no Registro.

Acesso direto ao Registro

Os sinalizadores Política de Grupo estão sob a chave do Registro HKEY_LOCAL_MACHINE\Políticas\ deSoftware\Microsoft\Tpm\BlockedCommands.

Para determinar quais listas devem ser usadas para bloquear comandos TPM, há dois valores DWORD que são usados como sinalizadores boolianos:

  • "IgnoreDefaultList"

    Se definido (o valor existe e não é zero), o TBS ignora a lista de comandos bloqueados padrão.

  • "IgnoreLocalList"

    Se definido (o valor existe e não é zero), o TBS ignora a lista local blocked-commands.

Editor de objeto de política de grupo

Para acessar o editor de objetos Política de Grupo

  1. Clique em Iniciar.
  2. Clique em Executar.
  3. Na caixa Abrir , digite gpedit.msc. Clique em OK. O editor de objetos Política de Grupo é aberto.
  4. Expanda Configuração do Computador.
  5. Expanda Modelos Administrativos.
  6. Expanda Sistema.
  7. Expanda Trusted Platform Module Services.

As listas de comandos TPM1.2 bloqueados específicos podem ser editadas diretamente nos locais a seguir.

  • Lista de políticas de grupo:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lista local:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Lista padrão:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Em cada uma dessas chaves do Registro, há uma lista de valores do Registro de REG_SZ tipo. Cada valor representa um comando TPM bloqueado. Cada chave do Registro tem um campo "Nome do valor" e um campo "Dados de valor". Ambos os campos ("Nome do Valor" e "Dados de valor"), devem corresponder exatamente ao valor decimal do ordinal do comando TPM a ser bloqueado.

A lista de comandos TPM 2.0 permitidos específicos pode ser editada diretamente no local a seguir. Na chave do Registro, há uma lista de valores do Registro de REG_DWORD tipo. Cada valor representa um comando TPM 2.0 permitido. Cada valor do Registro tem um nome e um campo de valor . O nome corresponde ao ordinal de comando hexadecimal do TPM 2.0 que deve ser permitido. O valor terá um valor de 1 se o comando for permitido. Se um ordinal de comando não estiver presente ou tiver um valor de 0, o comando será bloqueado.

  • Lista padrão:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Por Windows 8, Windows Server 2012 e posterior, as chaves do Registro BlockedCommands e AllowedW8Commands, respectivamente, determinam os comandos TPM bloqueados ou permitidos para contas de administrador. As contas de usuário têm uma lista de comandos TPM bloqueados ou permitidos nas chaves do Registro BlockedUserCommands e AllowedW8UserCommands , respectivamente. No Windows 10, versão 1607, novas chaves do Registro foram introduzdas para aplicativos AppContainer: BlockedAppContainerCommands e AllowedW8AppContainerCommands.