TPM 组策略设置
本文介绍可使用组策略设置集中控制的受信任的平台模块 (TPM) 服务。 TPM 服务的组策略设置位于 计算机配置>管理模板>系统>受信任的平台模块服务下。
配置阻止的 TPM 命令列表
此策略设置允许你管理“受信任的平台模块”的组策略列表 (TPM) Windows 阻止的命令。
如果启用此策略设置,Windows 将阻止将指定的命令发送到计算机上的 TPM。 TPM 命令由命令编号引用。 例如,命令编号 129
为 TPM_OwnerReadInternalPub
,命令编号 170
为 TPM_FieldUpgrade
。
如果禁用或未配置此策略设置,Windows 只能阻止通过默认列表或本地列表指定的 TPM 命令。 Windows 预配置阻止的 TPM 命令的默认列表。 可以通过运行 tpm.msc
来查看默认列表,导航到“命令管理”部分,并使“默认阻止列表”列可见。 阻止的 TPM 命令的本地列表是通过针对 Win32_Tpm 接口运行 tpm.msc
或通过脚本在组策略外部配置的。
将系统配置为清除 TPM(如果 TPM 未处于就绪状态)
此策略设置将系统配置为在检测到 TPM 处于“就绪”以外的任何状态时提示用户清除 TPM。 仅当系统的 TPM 处于“就绪”状态(包括 TPM 为“就绪,功能减少”)时,此策略才会生效。 只有在登录的用户是系统的管理员组的一部分时,下次重新启动后才会开始提示清除 TPM。 提示可以消除,但在每次重新启动和登录后都会再次出现,直到策略被禁用或 TPM 处于就绪状态。
忽略阻止的 TPM 命令的默认列表
使用此策略设置,可以强制或忽略计算机的受阻受信任的平台模块的本地列表, (TPM) 命令。
如果启用此策略设置,Windows 将忽略计算机的已阻止 TPM 命令的本地列表,并且只会阻止由组策略或默认列表指定的 TPM 命令。
阻止的 TPM 命令的本地列表是通过针对 Win32_Tpm
接口运行tpm.msc
或通过脚本在组策略外部配置的。 Windows 预配置阻止的 TPM 命令的默认列表。 请参阅相关策略设置,以配置阻止的 TPM 命令的组策略列表。
如果禁用或未配置此策略设置,Windows 会阻止本地列表中的 TPM 命令,以及组策略中的命令和阻止的 TPM 命令的默认列表。
忽略阻止的 TPM 命令的本地列表
此策略设置配置本地计算机的注册表中存储的 TPM 所有者授权信息量。 根据本地存储的 TPM 所有者授权信息量,操作系统和基于 TPM 的应用程序可以执行某些 TPM 操作,这些操作需要 TPM 所有者授权,而无需用户输入 TPM 所有者密码。
可以选择让操作系统存储完整的 TPM 所有者授权值、TPM 管理委派 Blob 和 TPM 用户委派 Blob,或者没有。
如果启用此策略设置,Windows 将根据所选的操作系统托管 TPM 身份验证设置,将 TPM 所有者授权存储在本地计算机的注册表中。
选择“完整”的操作系统托管 TPM 身份验证设置,在本地注册表中存储完整的 TPM 所有者授权、TPM 管理委派 Blob 和 TPM 用户委派 Blob。 此设置允许使用 TPM,而无需远程或外部存储 TPM 所有者授权值。 此设置适用于不依赖于阻止重置 TPM 反锤逻辑或更改 TPM 所有者授权值的方案。 某些基于 TPM 的应用程序可能需要先更改此设置,然后才能使用取决于 TPM 反锤逻辑的功能。
选择“委托”的操作系统托管 TPM 身份验证设置,在本地注册表中仅存储 TPM 管理委派 Blob 和 TPM 用户委派 Blob。 此设置适用于依赖于 TPM 反锤逻辑的基于 TPM 的应用程序。
选择“无”的操作系统托管 TPM 身份验证设置,以便与以前的操作系统和应用程序兼容,或者用于需要不在本地存储 TPM 所有者授权的方案。 使用此设置可能会导致某些基于 TPM 的应用程序出现问题。
注意
如果操作系统托管的 TPM 身份验证设置从“完全”更改为“委托”,则会重新生成完整的 TPM 所有者授权值,并且原始 TPM 所有者授权值的任何副本都会失效。
配置可用于操作系统的 TPM 所有者授权信息的级别
重要提示
从 Windows 10 版本 1703 开始,默认值为 5。 此值在预配期间实现,以便另一个 Windows 组件可以删除它或获取其所有权,具体取决于系统配置。 对于 TPM 2.0,值为 5 表示保留锁定授权。 对于 TPM 1.2,这意味着放弃完整的 TPM 所有者授权,只保留委托的授权。
此策略设置配置了哪些 TPM 授权值存储在本地计算机的注册表中。 为了允许 Windows 执行某些操作,需要某些授权值。
TPM 1.2 值 | TPM 2.0 值 | 用途 | 保持在级别 0? | 保持在 2 级? | 保持在 4 级? |
---|---|---|---|---|---|
OwnerAuthAdmin | StorageOwnerAuth | 创建 SRK | 否 | 是 | 是 |
OwnerAuthEndorsement | 认可身份验证 | 仅创建或使用 EK (1.2:创建 AIK) | 否 | 是 | 是 |
OwnerAuthFull | LockoutAuth | 重置/更改字典攻击防护 | 否 | 否 | 是 |
有三个 TPM 所有者身份验证设置由 Windows 操作系统管理。 可以选择值“Full”、“Delegate”或“None”。
完整:此设置在本地注册表中存储完整的 TPM 所有者授权、TPM 管理委派 Blob 和 TPM 用户委派 Blob。 使用此设置,无需远程或外部存储 TPM 所有者授权值即可使用 TPM。 此设置适用于不需要重置 TPM 反锤逻辑或更改 TPM 所有者授权值的方案。 某些基于 TPM 的应用程序可能需要先更改此设置,然后才能使用依赖于 TPM 反锤逻辑的功能。 TPM 1.2 中的完全所有者授权类似于 TPM 2.0 中的锁定授权。 所有者授权对 TPM 2.0 有不同的含义。
委托:此设置仅在本地注册表中存储 TPM 管理委派 Blob 和 TPM 用户委派 Blob。 此设置适用于依赖于 TPM 反锤逻辑的基于 TPM 的应用程序。 这是版本 1703 之前的 Windows 中的默认设置。
无:此设置提供与以前的操作系统和应用程序的兼容性。 还可以将其用于无法在本地存储 TPM 所有者授权的方案。 使用此设置可能会导致某些基于 TPM 的应用程序出现问题。
注意
如果操作系统托管的 TPM 身份验证设置从 “完全 ”更改为“ 委托”,则会重新生成完整的 TPM 所有者授权值,并且以前设置的 TPM 所有者授权值的任何副本都将无效。
注册表信息
注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
下表显示了注册表中的 TPM 所有者授权值。
值数据 | 设置 |
---|---|
0 | 无 |
2 | 委托 |
4 | 完整 |
如果启用此策略设置,Windows 操作系统将根据所选的 TPM 身份验证设置将 TPM 所有者授权存储在本地计算机的注册表中。
在版本 1607 之前的 Windows 10 上,如果禁用或未配置此策略设置,并且也禁用或未配置“ 将 TPM 备份到 Active Directory 域服务 ”策略设置,则默认设置是在本地注册表中存储完整的 TPM 授权值。 如果禁用或未配置此策略,并且启用了“ 打开到 Active Directory 域服务的 TPM 备份 ”策略设置,则只有管理委派和用户委派 Blob 存储在本地注册表中。
标准用户锁定持续时间
此策略设置允许管理受信任平台模块的标准用户授权失败计数的持续时间(以分钟为单位), (TPM) 需要授权的命令。 每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 将忽略早于所设置持续时间的授权失败。 如果在锁定持续时间内授权失败的 TPM 命令数等于阈值,则阻止标准用户向 TPM 发送需要授权的命令。
TPM 旨在通过进入硬件锁定模式来保护自身免受密码猜测攻击,当它收到过多的授权值不正确的命令时,它就进入了硬件锁定模式。 当 TPM 进入锁定模式时,它对于所有用户 ((包括管理员) )和 Windows 功能(如 BitLocker 驱动器加密)都是全局的。
此设置可帮助管理员通过降低标准用户可以向 TPM 发送需要授权的命令的速度,防止 TPM 硬件进入锁定模式。
对于每个标准用户,应用两个阈值。 超过任一阈值会阻止用户向 TPM 发送需要授权的命令。 使用以下策略设置设置锁定持续时间:
- 标准用户个人锁定阈值:此值是每个标准用户在不允许用户向 TPM 发送需要授权的命令之前可能具有的最大授权失败次数。
- 标准用户总锁定阈值:此值是不允许所有标准用户向 TPM 发送需要授权的命令之前,所有标准用户可以拥有的最大授权失败次数。
具有 TPM 所有者密码的管理员可以使用 Windows Defender 安全中心完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前的所有标准用户 TPM 授权失败。 这允许标准用户立即正常使用 TPM。
如果未配置此策略设置,则使用默认值 480 分钟 (8 小时) 。
标准用户个人锁定阈值
通过此策略设置,可以管理受信任的平台模块 (TPM) 的每个标准用户的最大授权失败次数。 此值是每个标准用户在不允许将需要授权的命令发送到 TPM 之前可能具有的最大授权失败次数。 如果为 标准用户锁定 持续时间策略设置设置设置的持续时间内用户的授权失败次数等于此值,则阻止标准用户发送需要授权的命令到受信任的平台模块 (TPM) 。
此设置可帮助管理员通过降低标准用户可以向 TPM 发送需要授权的命令的速度,防止 TPM 硬件进入锁定模式。
每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过持续时间的授权失败将被忽略。
具有 TPM 所有者密码的管理员可以使用 Windows Defender 安全中心完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前的所有标准用户 TPM 授权失败。 这允许标准用户立即正常使用 TPM。
如果未配置此策略设置,则使用默认值 4。 值为零意味着操作系统不允许标准用户向 TPM 发送命令,这可能会导致授权失败。
标准用户总锁定阈值
通过此策略设置,可以管理受信任的平台模块 (TPM) 的所有标准用户的最大授权失败次数。 如果在为标准用户锁定持续时间策略设置的持续时间内所有 标准用户的 授权失败总数等于此值,则阻止所有标准用户发送需要授权的命令到受信任的平台模块 (TPM) 。
此设置可帮助管理员防止 TPM 硬件进入锁定模式,因为它会降低标准用户可以向 TPM 发送需要授权的命令的速度。
每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过持续时间的授权失败将被忽略。
具有 TPM 所有者密码的管理员可以使用 Windows Defender 安全中心完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前的所有标准用户 TPM 授权失败。 这允许标准用户立即正常使用 TPM。
如果未配置此策略设置,则使用默认值 9。 值为零意味着操作系统不允许标准用户向 TPM 发送命令,这可能会导致授权失败。
将系统配置为使用 TPM 2.0 的旧字典攻击防护参数设置
此策略设置在 Windows 10 版本 1703 中引入,将 TPM 配置为使用字典攻击防护参数 (锁定阈值和恢复时间,) 用于 Windows 10 版本 1607 及更低版本的值。
重要提示
只有在以下的情况下,设置此策略才会生效:
- TPM 最初是使用 Windows 10 版本 1607 之后的 Windows 版本准备的
- 系统具有 TPM 2.0。
注意
启用此策略仅在 TPM 维护任务运行后生效, (通常在系统重启) 后发生。 在系统上启用此策略并在系统重启) 后 (生效后,禁用该策略不会产生任何影响,并且无论此组策略的值如何,系统的 TPM 仍将使用旧版字典攻击防护参数进行配置。 此策略的禁用设置在启用该策略的系统上生效的唯一方法是:
- 从组策略禁用它
- 清除系统上的 TPM
Windows 安全中心中的 TPM 组策略设置
可以更改用户在 Windows 安全中心中对 TPM 的看法。 Windows 安全中 TPM 区域的组策略设置位于“计算机配置>管理模板>”“Windows 组件>”“Windows 安全>设备安全性”下。
禁用“清除 TPM”按钮
如果不希望用户能够在 Windows 安全中心中选择“清除 TPM”按钮,可以使用此组策略设置将其禁用。 选择“ 已启用 ”,使“ 清除 TPM ”按钮不可用。
隐藏 TPM 固件更新建议
如果不希望用户看到更新 TPM 固件的建议,可以使用此设置将其禁用。 选择“ 启用 ”可阻止用户在检测到易受攻击的固件时看到更新其 TPM 固件的建议。