Поделиться через


Блокировка команд

Для сохранения целостности операций некоторые команды доверенного платформенного модуля не могут выполняться программным обеспечением на платформе. Например, некоторые команды выполняются только системным программным обеспечением. Когда TBS блокирует команду, возвращается сообщение об ошибке. По умолчанию TBS блокирует команды, которые могут повлиять на конфиденциальность, безопасность и стабильность системы. В TBS также предполагается, что другие части стека программного обеспечения могут ограничивать доступ к определенным командам авторизованным сущностям.

Для команд TPM версии 1.2 существует три списка заблокированных команд: список, контролируемый групповой политикой, список, контролируемый локальными администраторами, и список по умолчанию. Команда доверенного платформенного модуля блокируется, если она находится в любом из списков. Однако существуют флаги групповой политики, позволяющие TBS игнорировать локальный список и список по умолчанию. Флаги групповой политики можно редактировать напрямую или обращаться через редактор объектов групповая политика.

Примечание

Список локально заблокированных команд не сохраняется после обновления операционной системы. Команды, заблокированные в списке групповая политика, сохраняются.

 

Для команд доверенного платформенного модуля версии 2.0 логика блокировки инвертируется; в нем используется список разрешенных команд. Эта логика автоматически блокирует команды, которые не были известны при первом создании списка. Когда команды добавляются в спецификацию доверенного платформенного модуля после отправки версии Windows, эти новые команды автоматически блокируются. Только обновление реестра добавит эти новые команды в список разрешенных команд.

Начиная с Windows 10 1809 (Windows Server 2019), разрешенными командами TPM 2.0 больше нельзя управлять с помощью параметров реестра. Для этих Windows 10 версий разрешенные команды TPM 2.0 исправлены в драйвере TPM. Команды TPM 1.2 по-прежнему можно блокировать и разблокировать с помощью изменений реестра.

Прямой доступ к реестру

Флаги групповая политика находятся в разделе реестра HKEY_LOCAL_MACHINE\Политики\программного обеспечения\Microsoft\Tpm\BlockedCommands.

Чтобы определить, какие списки следует использовать для блокировки команд доверенного платформенного модуля, в качестве логических флагов используются два значения DWORD :

  • IgnoreDefaultList

    Если задано значение (значение существует и не равно нулю), в TBS игнорируется список заблокированных команд по умолчанию.

  • IgnoreLocalList

    Если задано значение (значение существует и не равно нулю), служба TBS игнорирует локальный список заблокированных команд.

Редактор объектов групповой политики

Доступ к редактору объектов групповая политика

  1. Нажмите Запуск.
  2. Нажмите кнопку Запустить.
  3. В окне Открыть введите gpedit.msc. Нажмите кнопку ОК. Откроется редактор объектов групповая политика.
  4. Разверните узел Конфигурация компьютера.
  5. Разверните узел Административные шаблоны.
  6. Разверните узел Система.
  7. Разверните узел Службы доверенных платформенных модулей.

Списки конкретных заблокированных команд TPM1.2 можно редактировать непосредственно в следующих расположениях.

  • Список групповой политики:

    HKEY_LOCAL_MACHINE
       Software
          Policies
             Microsoft
                Tpm
                   BlockedCommands
                      List
    
  • Локальный список:

    HKEY_LOCAL_MACHINE
       SYSTEM
          CurrentControlSet
             Services
                SharedAccess
                   Parameters
                      Tpm
                         BlockedCommands
                            List
    
  • Список по умолчанию:

    HKEY_LOCAL_MACHINE
       Software
          Microsoft
             Tpm
                BlockedCommands
                   List
    

В каждом из этих разделов реестра есть список значений реестра REG_SZ типа. Каждое значение представляет заблокированную команду доверенного платформенного модуля. Каждый раздел реестра имеет поля "Имя значения" и "Данные значения". Оба поля ("Имя значения" и "Значение данных") должны точно соответствовать десятичному значению порядкового номера команды доверенного платформенного модуля для блокировки.

Список определенных разрешенных команд TPM 2.0 можно изменить непосредственно в следующем расположении. В разделе реестра содержится список значений реестра REG_DWORD типа. Каждое значение представляет разрешенную команду TPM 2.0. Каждое значение реестра имеет имя и поле значения . Имя совпадает с шестнадцатеричным порядком команды TPM 2.0, который должен быть разрешен. Значение имеет значение 1, если команда разрешена. Если порядковый номер команды отсутствует или имеет значение 0, команда будет заблокирована.

  • Список по умолчанию:

    HKEY_LOCAL_MACHINE
       Software
          Microsoft
             Tpm
                AllowedW8Commands
                   List
    

Для Windows 8, Windows Server 2012 и более поздних версий разделы реестра BlockedCommands и AllowedW8Commands соответственно определяют заблокированные или разрешенные команды TPM для учетных записей администратора. Учетные записи пользователей имеют список заблокированных или разрешенных команд TPM в разделах реестра BlockedUserCommands и AllowedW8UserCommands соответственно. В Windows 10 версии 1607 для приложений AppContainer появились новые разделы реестра: BlockedAppContainerCommands и AllowedW8AppContainerCommands.