Dela via

Kommandoblockering

  • Artikel

För att bevara integriteten för åtgärder tillåts inte vissa TPM-kommandon att köras av programvara på plattformen. Vissa kommandon körs till exempel bara av systemprogramvara. När TBS blockerar ett kommando returneras ett fel efter behov. Som standard blockerar TBS kommandon som kan påverka systemets integritet, säkerhet och stabilitet. TBS förutsätter också att andra delar av programvarustacken kan begränsa åtkomsten till vissa kommandon till auktoriserade entiteter.

För TPM version 1.2-kommandon finns det tre listor med blockerade kommandon: en lista som styrs av en grupprincip, en lista som styrs av lokala administratörer och en standardlista. Ett TPM-kommando blockeras om det finns i någon av listorna. Det finns dock grupprincipflaggor som gör att TBS kan ignorera den lokala listan och standardlistan. Grupprincipflaggor kan redigeras direkt eller nås via redigeraren för grupprincipobjekt.

Not

Listan över lokalt blockerade kommandon bevaras inte efter en uppgradering till operativsystemet. Kommandon som blockeras i listan Grupprincip bevaras.

 

För TPM version 2.0-kommandon inverteras logiken för blockering. den använder en lista över tillåtna kommandon. Den här logiken blockerar automatiskt kommandon som inte var kända när listan först gjordes. När kommandon läggs till i TPM-specifikationen efter att en version av Windows har levererats blockeras dessa nya kommandon automatiskt. Endast en uppdatering av registret lägger till dessa nya kommandon i listan över tillåtna kommandon.

Från och med Windows 10 1809 (Windows Server 2019) kan tillåtna TPM 2.0-kommandon inte längre ändras via registerinställningar. För dessa Windows 10-versioner är de tillåtna TPM 2.0-kommandona fasta i TPM-drivrutinen. TPM 1.2-kommandon kan fortfarande blockeras och avblockeras genom registerändringar.

Direkt registeråtkomst

Grupprincipflaggor finns under registernyckeln HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Tpm\BlockedCommands.

För att avgöra vilka listor som ska användas för att blockera TPM-kommandon finns det två DWORD- värden som används som booleska flaggor:

  • "IgnoreDefaultList"

    Om värdet anges (värdet finns och inte är noll) ignorerar TBS listan med blockerade kommandon.

  • "IgnoreLocalList"

    Om värdet anges (värdet finns och inte är noll) ignorerar TBS listan med lokala blockerade kommandon.

Redigeraren för grupprincipobjekt

Så här kommer du åt redigeraren för grupprincipobjektet

  1. Klicka på Starta.
  2. Klicka på Kör.
  3. I rutan Öppna skriver du gpedit.msc. Klicka på OK. Redigeraren grupprincipobjekt öppnas.
  4. Expandera Datorkonfiguration.
  5. Expandera administrativa mallar.
  6. Expandera System.
  7. Expandera Trusted Platform Module Services.

Listor över specifika blockerade TPM1.2-kommandon kan redigeras direkt på följande platser.

  • Grupprinciplista:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lokal lista:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Standardlista:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Under var och en av dessa registernycklar finns en lista med registervärden av REG_SZ typ. Varje värde representerar ett blockerat TPM-kommando. Varje registernyckel har fältet "Värdenamn" och fältet "Värdedata". Båda fälten ("Värdenamn" och "Värdedata") ska exakt matcha decimalvärdet för TPM-kommandoordningen som ska blockeras.

Listan över specifika tillåtna TPM 2.0-kommandon kan redigeras direkt på följande plats. Under registernyckeln finns en lista över registervärden av REG_DWORD typ. Varje värde representerar ett tillåtet TPM 2.0-kommando. Varje registervärde har ett namn och ett värde fält. Det namnet matchar den hexadecimala TPM 2.0-kommandoordningen som ska tillåtas. Värdet har värdet 1 om kommandot tillåts. Om en kommandoordning inte finns eller har värdet 0 blockeras kommandot.

  • Standardlista:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

För Windows 8, Windows Server 2012 och senare fastställer BlockedCommands och AllowedW8Commands registernycklar respektive de blockerade eller tillåtna TPM-kommandona för administratörskonton. Användarkonton har en lista över blockerade eller tillåtna TPM-kommandon i BlockedUserCommands respektive AllowedW8UserCommands registernycklar. I Windows 10 version 1607 har nya registernycklar introducerats för AppContainer-program: BlockedAppContainerCommands och AllowedW8AppContainerCommands.