策略 CSP - ADMX_TPM
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>
。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
BlockedCommandsList_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
此策略设置允许你管理“受信任的平台模块”的组策略列表 (TPM) Windows 阻止的命令。
如果启用此策略设置,Windows 将阻止将指定的命令发送到计算机上的 TPM。 TPM 命令由命令编号引用。 例如,命令编号 129 为TPM_OwnerReadInternalPub,命令编号 170 为TPM_FieldUpgrade。 若要使用 TPM 1.2 查找与每个 TPM 命令关联的命令编号,请运行“tpm.msc”并导航到“命令管理”部分。
如果禁用或未配置此策略设置,Windows 只能阻止通过默认列表或本地列表指定的 TPM 命令。 阻止的 TPM 命令的默认列表由 Windows 预先配置。 可以通过运行“tpm.msc”、导航到“命令管理”部分并使“默认阻止列表”列可见来查看默认列表。 阻止的 TPM 命令的本地列表是通过运行“tpm.msc”或通过针对 Win32_Tpm 接口的脚本在组策略外部配置的。 请参阅相关策略设置,以强制或忽略阻止的 TPM 命令的默认和本地列表。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | BlockedCommandsList_Name |
友好名称 | 配置阻止的 TPM 命令列表 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
注册表值名称 | 启用 |
ADMX 文件名 | TPM.admx |
ClearTPMIfNotReady_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
此策略设置将系统配置为在检测到 TPM 处于“就绪”以外的任何状态时提示用户清除 TPM。 仅当系统的 TPM 处于“就绪”状态(包括 TPM 为“就绪,功能减少”)时,此策略才会生效。 仅在登录用户是系统的管理员组的一部分时,下次重新启动后才会开始提示清除 TPM。 提示可以消除,但在每次重新启动和登录后都会重新出现,直到策略被禁用或 TPM 处于“就绪”状态。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | ClearTPMIfNotReady_Name |
友好名称 | 将系统配置为清除 TPM(如果 TPM 未处于就绪状态)。 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\TPM |
注册表值名称 | ClearTPMIfNotReadyGP |
ADMX 文件名 | TPM.admx |
IgnoreDefaultList_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
使用此策略设置,可以强制或忽略计算机阻止的受信任平台模块的默认列表, (TPM) 命令。
- 如果启用此策略设置,Windows 将忽略计算机阻止的 TPM 命令的默认列表,并且只会阻止由组策略或本地列表指定的这些 TPM 命令。
阻止的 TPM 命令的默认列表由 Windows 预先配置。 可以通过运行“tpm.msc”、导航到“命令管理”部分并使“默认阻止列表”列可见来查看默认列表。 阻止的 TPM 命令的本地列表是通过运行“tpm.msc”或通过针对 Win32_Tpm 接口的脚本在组策略外部配置的。 请参阅相关策略设置,以配置阻止的 TPM 命令的组策略列表。
- 如果禁用或未配置此策略设置,除了组策略中的命令和阻止的 TPM 命令的本地列表外,Windows 还会阻止默认列表中的 TPM 命令。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | IgnoreDefaultList_Name |
友好名称 | 忽略阻止的 TPM 命令的默认列表 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\TPM\BlockedCommands |
注册表值名称 | IgnoreDefaultList |
ADMX 文件名 | TPM.admx |
IgnoreLocalList_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
使用此策略设置,可以强制或忽略计算机的受阻受信任的平台模块的本地列表, (TPM) 命令。
- 如果启用此策略设置,Windows 将忽略计算机的已阻止 TPM 命令的本地列表,并且只会阻止由组策略或默认列表指定的 TPM 命令。
阻止的 TPM 命令的本地列表是通过运行“tpm.msc”或通过针对 Win32_Tpm 接口的脚本在组策略外部配置的。 阻止的 TPM 命令的默认列表由 Windows 预先配置。 请参阅相关策略设置,以配置阻止的 TPM 命令的组策略列表。
- 如果禁用或未配置此策略设置,Windows 将阻止本地列表中的 TPM 命令,以及组策略中的命令和阻止的 TPM 命令的默认列表。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | IgnoreLocalList_Name |
友好名称 | 忽略阻止的 TPM 命令的本地列表 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\TPM\BlockedCommands |
注册表值名称 | IgnoreLocalList |
ADMX 文件名 | TPM.admx |
OptIntoDSHA_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
此组策略在受支持的设备上启用设备运行状况证明报告 (DHA-report) 。 它使受支持的设备能够在每次设备启动时将设备运行状况证明相关信息 (设备启动日志、PCR 值、TPM 证书等 ) 发送到设备运行状况证明服务 (DHA-Service) 。 设备运行状况证明服务验证设备的安全状态和运行状况,并使企业管理员能够通过基于云的报告门户访问调查结果。 此策略独立于由设备可管理性解决方案 ((如 MDM 或 SCCM) )启动的 DHA 报告,并且不会干扰其工作流。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | OptIntoDSHA_Name |
友好名称 | 启用设备运行状况证明监视和报告 |
位置 | “计算机配置” |
路径 | 系统 > 设备运行状况证明服务 |
注册表项名称 | Software\Policies\Microsoft\DeviceHealthAttestationService |
注册表值名称 | EnableDeviceHealthAttestationService |
ADMX 文件名 | TPM.admx |
OSManagedAuth_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
此策略设置配置本地计算机的注册表中存储的 TPM 所有者授权信息量。 根据本地存储的 TPM 所有者授权信息量,操作系统和基于 TPM 的应用程序可以执行某些需要 TPM 所有者授权的 TPM 操作,而无需用户输入 TPM 所有者密码。
可以选择让操作系统存储完整的 TPM 所有者授权值、TPM 管理委派 Blob 和 TPM 用户委派 Blob,或者没有。
如果启用此策略设置,Windows 将根据所选的操作系统托管 TPM 身份验证设置,将 TPM 所有者授权存储在本地计算机的注册表中。
选择“完整”的操作系统托管 TPM 身份验证设置,在本地注册表中存储完整的 TPM 所有者授权、TPM 管理委派 Blob 和 TPM 用户委派 Blob。 此设置允许使用 TPM,而无需远程或外部存储 TPM 所有者授权值。 此设置适用于不依赖于阻止重置 TPM 反锤逻辑或更改 TPM 所有者授权值的方案。 某些基于 TPM 的应用程序可能需要先更改此设置,然后才能使用依赖于 TPM 反锤逻辑的功能。
选择“委托”的操作系统托管 TPM 身份验证设置,在本地注册表中仅存储 TPM 管理委派 Blob 和 TPM 用户委派 Blob。 此设置适用于依赖于 TPM 反锤逻辑的基于 TPM 的应用程序。
选择“无”的操作系统托管 TPM 身份验证设置,以便与以前的操作系统和应用程序兼容,或者用于需要不在本地存储 TPM 所有者授权的方案。 使用此设置可能会导致某些基于 TPM 的应用程序出现问题。
注意
如果操作系统托管的 TPM 身份验证设置从“完全”更改为“委托”,则将重新生成完整的 TPM 所有者授权值,并且原始 TPM 所有者授权值的任何副本都将无效。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | OSManagedAuth_Name |
友好名称 | 配置可用于操作系统的 TPM 所有者授权信息的级别 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\TPM |
ADMX 文件名 | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
此策略设置允许管理受信任平台模块的标准用户授权失败计数的持续时间(以分钟为单位), (TPM) 需要授权的命令。 如果在持续时间内授权失败的 TPM 命令数等于阈值,则阻止标准用户向 TPM 发送需要授权的命令。
此设置可帮助管理员防止 TPM 硬件进入锁定模式,因为它会降低标准用户可以向 TPM 发送需要授权的命令的速度。
每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过此持续时间的授权失败将被忽略。
对于每个标准用户,应用两个阈值。 超过任一阈值都会阻止标准用户向需要授权的 TPM 发送命令。
标准用户锁定阈值单个值是每个标准用户在不允许用户向 TPM 发送需要授权的命令之前可能具有的最大授权失败次数。
标准用户锁定总阈值是不允许所有标准用户向 TPM 发送需要授权的命令之前,所有标准用户可能具有的最大授权失败次数。
TPM 旨在通过进入硬件锁定模式来保护自身免受密码猜测攻击,当它收到过多的授权值不正确的命令时,它就进入了硬件锁定模式。 当 TPM 进入锁定模式时,它对于所有用户(包括管理员和 BitLocker 驱动器加密等 Windows 功能)都是全局的。 TPM 允许的授权失败次数以及它被锁定的时间因 TPM 制造商而异。 某些 TPM 可能会连续较长一段时间进入锁定模式,授权失败次数较少,具体取决于过去的故障。 某些 TPM 可能需要重启系统才能退出锁定模式。 其他 TPM 可能要求系统处于打开状态,以便在 TPM 退出锁定模式之前经过足够的时钟周期。
具有 TPM 所有者密码的管理员可以使用 TPM 管理控制台 (tpm.msc) 完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略以前所有标准用户 TPM 授权失败;允许标准用户立即再次正常使用 TPM。
如果未配置此值,则使用默认值 480 分钟 (8 小时) 。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | StandardUserAuthorizationFailureDuration_Name |
友好名称 | 标准用户锁定持续时间 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\Tpm |
注册表值名称 | StandardUserAuthorizationFailureDuration |
ADMX 文件名 | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
通过此策略设置,可以管理受信任的平台模块 (TPM) 的每个标准用户的最大授权失败次数。 如果标准用户锁定持续时间内用户的授权失败次数等于此值,则阻止标准用户将命令发送到需要授权的受信任的平台模块 (TPM) 。
此设置可帮助管理员防止 TPM 硬件进入锁定模式,因为它会降低标准用户可以向 TPM 发送需要授权的命令的速度。
每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过持续时间的授权失败将被忽略。
对于每个标准用户,应用两个阈值。 超过任一阈值都会阻止标准用户向需要授权的 TPM 发送命令。
此值是每个标准用户在不允许将需要授权的命令发送到 TPM 之前可能具有的最大授权失败次数。
标准用户锁定总阈值是不允许所有标准用户向 TPM 发送需要授权的命令之前,所有标准用户可能具有的最大授权失败次数。
TPM 旨在通过进入硬件锁定模式来保护自身免受密码猜测攻击,当它收到过多的授权值不正确的命令时,它就进入了硬件锁定模式。 当 TPM 进入锁定模式时,它对于所有用户(包括管理员和 BitLocker 驱动器加密等 Windows 功能)都是全局的。 TPM 允许的授权失败次数以及它被锁定的时间因 TPM 制造商而异。 某些 TPM 可能会连续较长一段时间进入锁定模式,授权失败次数较少,具体取决于过去的故障。 某些 TPM 可能需要重启系统才能退出锁定模式。 其他 TPM 可能要求系统处于打开状态,以便在 TPM 退出锁定模式之前经过足够的时钟周期。
具有 TPM 所有者密码的管理员可以使用 TPM 管理控制台 (tpm.msc) 完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略以前所有标准用户 TPM 授权失败;允许标准用户立即再次正常使用 TPM。
如果未配置此值,则使用默认值 4。
值为零表示 OS 不允许标准用户向 TPM 发送可能导致授权失败的命令。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | StandardUserAuthorizationFailureIndividualThreshold_Name |
友好名称 | 标准用户个人锁定阈值 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\Tpm |
注册表值名称 | StandardUserAuthorizationFailureIndividualThreshold |
ADMX 文件名 | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
通过此策略设置,可以管理受信任的平台模块 (TPM) 的所有标准用户的最大授权失败次数。 如果标准用户锁定持续时间内所有标准用户的授权失败总数等于此值,则阻止所有标准用户将命令发送到需要授权的受信任的平台模块 (TPM) 。
此设置可帮助管理员防止 TPM 硬件进入锁定模式,因为它会降低标准用户可以向 TPM 发送需要授权的命令的速度。
每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过持续时间的授权失败将被忽略。
对于每个标准用户,应用两个阈值。 超过任一阈值都会阻止标准用户向需要授权的 TPM 发送命令。
标准用户个人锁定值是每个标准用户在不允许用户向 TPM 发送需要授权的命令之前可能具有的最大授权失败次数。
此值是不允许所有标准用户向 TPM 发送需要授权的命令之前,所有标准用户可能具有的最大授权失败次数。
TPM 旨在通过进入硬件锁定模式来保护自身免受密码猜测攻击,当它收到过多的授权值不正确的命令时,它就进入了硬件锁定模式。 当 TPM 进入锁定模式时,它对于所有用户(包括管理员和 BitLocker 驱动器加密等 Windows 功能)都是全局的。 TPM 允许的授权失败次数以及它被锁定的时间因 TPM 制造商而异。 某些 TPM 可能会连续较长一段时间进入锁定模式,授权失败次数较少,具体取决于过去的故障。 某些 TPM 可能需要重启系统才能退出锁定模式。 其他 TPM 可能要求系统处于打开状态,以便在 TPM 退出锁定模式之前经过足够的时钟周期。
具有 TPM 所有者密码的管理员可以使用 TPM 管理控制台 (tpm.msc) 完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略以前所有标准用户 TPM 授权失败;允许标准用户立即再次正常使用 TPM。
如果未配置此值,则使用默认值 9。
值为零表示 OS 不允许标准用户向 TPM 发送可能导致授权失败的命令。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | StandardUserAuthorizationFailureTotalThreshold_Name |
友好名称 | 标准用户总锁定阈值 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\Tpm |
注册表值名称 | StandardUserAuthorizationFailureTotalThreshold |
ADMX 文件名 | TPM.admx |
UseLegacyDAP_Name
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
此策略设置将 TPM 配置为使用字典攻击防护参数 (锁定阈值和恢复时间) 用于 Windows 10 版本 1607 及更低版本的值。 仅当) TPM 最初是使用 Windows 10 版本 1607 之后准备的,并且 b) 系统具有 TPM 2.0 时,设置此策略才会生效。 请注意,只有在 TPM 维护任务运行 (启用此策略才会生效,这通常在系统重启) 之后发生。 在系统上启用此策略并在系统重启) 后 (生效后,禁用该策略不会产生任何影响,并且无论此组策略的值如何,系统的 TPM 仍将使用旧版字典攻击防护参数进行配置。 此策略的禁用设置在启用后在系统上生效的唯一方法是) 从组策略中禁用它,b) 清除系统上的 TPM。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | UseLegacyDAP_Name |
友好名称 | 将系统配置为使用 TPM 2.0 的旧字典攻击防护参数设置。 |
位置 | “计算机配置” |
路径 | 系统 > 受信任的平台模块服务 |
注册表项名称 | Software\Policies\Microsoft\TPM |
注册表值名称 | UseLegacyDictionaryAttackParameters |
ADMX 文件名 | TPM.admx |