Configurações da Política de Grupo do TPM

  • Artigo

Este tópico para o profissional de TI descreve os Serviços do Trusted Platform Module (TPM) que podem ser controlados centralmente usando as configurações da Política de Grupo.

As configurações da Política de Grupo dos Serviços do TPM estão localizadas em:

Configuração do Computador\Modelos Administrativos\Sistema\Serviços do Trusted Platform Module\

Configuração Windows 10 Windows Server 2012 R2, Windows 8.1 e Windows RT Windows Server 2012, Windows 8 e Windows RT Windows Server 2008 R2 e Windows 7 Windows Server 2008 e Windows Vista

Ativar backup do TPM nos Serviços de Domínio do Active Directory.

X

X

X

X

X

Configurar a lista de comandos bloqueados do TPM

X

X

X

X

X

Ignorar a lista padrão de comandos bloqueados do TPM

X

X

X

X

X

Ignorar a lista local de comandos bloqueados do TPM

X

X

X

X

X

Configurar o nível de informações de autorização de proprietário do TPM disponíveis para o sistema operacional

X

X

X

Duração de Bloqueio do Usuário Padrão

X

X

X

Limite Individual de Bloqueio do Usuário Padrão

X

X

X

Limite Total de Bloqueio do Usuário Padrão

X

X

X

 

Ativar backup do TPM nos Serviços de Domínio do Active Directory.

Esta configuração de política permite que você gerencie o backup das informações de proprietário do TPM dos Serviços de Domínio do Active Directory (AD DS).

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

As informações de proprietário do TPM incluem um hash criptográfico da senha de proprietário do TPM. Certos comandos do TPM podem só ser executados pelo proprietário do TPM. Esse hash autoriza o TPM a executar esses comandos.

Importante  

Para fazer backup das informações de proprietário do TPM de um computador executando o Windows 10, Windows 8.1 ou Windows 8, talvez seja necessário definir primeiro as extensões de esquema e configurações de controle de acesso apropriadas no domínio para que o backup do AD DS possa ser bem-sucedido. O Windows Server 2012 R2 e Windows Server 2012 incluem as extensões de esquema necessárias por padrão. Para obter mais informações, consulte Extensões de esquema do AD DS compatíveis com o backup do TPM.

 

O TPM não pode ser usado para fornecer recursos de segurança avançados para Criptografia de Unidade de Disco BitLocker e outros aplicativos sem primeiro definir um proprietário. Para assumir a propriedade do TPM com uma senha de proprietário, digite tpm.msc no prompt de comando de um computador local para abrir o Console de Gerenciamento do TPM e selecione a ação para Inicializar o TPM. Se as informações de proprietário do TPM forem perdidas ou não estiverem disponíveis, o gerenciamento limitado do TPM será possível executando tpm.msc.

Se você habilitar esta configuração de política, o backup das informações de proprietário do TPM será feito de forma automática e silenciosa no AD DS quando você usar o Windows para definir ou alterar uma senha de proprietário do TPM. Quando esta configuração de política é habilitada, não é possível definir ou alterar uma senha de proprietário do TPM, a menos que o computador esteja conectado ao domínio e o backup do AD DS seja bem-sucedido.

Se você desabilitar ou não definir esta configuração de política, o backup das informações de proprietário do TPM não será feito para o AD DS.

Configurar a lista de comandos bloqueados do TPM

Esta configuração de política permite que você gerencie a lista da Política de Grupo dos comandos do Trusted Platform Module (TPM) que estão bloqueados pelo Windows.

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

Se você habilitar esta configuração de política, o Windows bloqueará o envio dos comandos especificados para o TPM no computador. Os comandos do TPM são referenciados por um número de comando. Por exemplo, o número de comando 129 é TPM_OwnerReadInternalPub, e o número de comando 170 é TPM_FieldUpgrade. Para localizar o número do comando associado a cada comando do TPM, digite tpm.msc no prompt de comando para abrir o Console de Gerenciamento do TPM e navegue até a seção Gerenciamento de Comando.

Se você desabilitar ou não definir esta configuração de política, apenas os comandos do TPM especificados na lista padrão ou local poderão ser bloqueados pelo Windows. A lista padrão de comandos bloqueados do TPM é pré-configurada pelo Windows.

  • Você pode exibir a lista padrão digitando tpm.msc no prompt de comando, navegando até a seção Gerenciamento de Comando e expondo a coluna Na Lista de Bloqueios Padrão.

  • A lista local de comandos bloqueados do TPM é configurada fora da Política de Grupo ao executar o Console de Gerenciamento do TPM ou criar scripts pela interface do Win32_Tpm.

Para saber como impor ou ignorar a lista padrão ou local de comandos bloqueados do TPM, consulte

  • Ignorar a lista padrão de comandos bloqueados do TPM

  • Ignorar a lista local de comandos bloqueados do TPM

Ignorar a lista padrão de comandos bloqueados do TPM

Esta configuração de política permite que você aplique ou ignore a lista padrão de comandos bloqueados do Trusted Platform Module (TPM) do computador.

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

A lista padrão de comandos bloqueados do TPM é pré-configurada pelo Windows. Você pode exibir a lista padrão digitando tpm.msc no prompt de comando para abrir o Console de Gerenciamento do TPM, navegando até a seção Gerenciamento de Comando e expondo a coluna Na Lista de Bloqueios Padrão. Consulte também a configuração de política relacionada, Configurar a lista de comandos bloqueados do TPM.

Se você habilitar esta configuração de política, o sistema operacional Windows ignorará a lista padrão de comandos bloqueados do TPM do computador e bloqueará apenas os comandos do TPM especificados pela Política de Grupo ou lista local.

Se você desabilitar ou não definir esta configuração de política, o Windows bloqueará os comandos do TPM na lista padrão, além dos comandos especificados pela Política de Grupo e pela lista local de comandos bloqueados do TPM.

Ignorar a lista local de comandos bloqueados do TPM

Esta configuração de política permite que você aplique ou ignore a lista local de comandos bloqueados do Trusted Platform Module (TPM) do computador.

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

A lista local de comandos bloqueados do TPM é configurada fora da Política de Grupo ao digitar tpm.msc no prompt de comando para abrir o Console de Gerenciamento do TPM ou criar scripts pela interface do Win32_Tpm. (A lista padrão de comandos bloqueados do TPM é pré-configurada pelo Windows.) Consulte também a configuração de política relacionada para Configurar a lista de comandos bloqueados do TPM.

Se você habilitar esta configuração de política, o sistema operacional Windows ignorará a lista local de comandos bloqueados do TPM do computador e bloqueará apenas os comandos do TPM especificados pela Política de Grupo ou lista padrão.

Se você desabilitar ou não definir esta configuração de política, o Windows bloqueará os comandos do TPM na lista local, além dos comandos especificados na Política de Grupo e lista padrão de comandos bloqueados do TPM.

Configurar o nível de informações de autorização de proprietário do TPM disponíveis para o sistema operacional

Esta configuração de política define a quantidade de informações de autorização de proprietário do TPM que é armazenada no Registro do computador local. Dependendo da quantidade de informações de autorização de proprietário do TPM armazenada localmente, o sistema operacional Windows e os aplicativos baseados no TPM poderão executar certas ações no TPM que exigem a autorização de proprietário do TPM sem que o usuário precise inserir a senha de proprietário do TPM.

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

Há três configurações de autenticação de proprietário do TPM que são gerenciadas pelo sistema operacional Windows. Você pode selecionar o valor Completo, Delegado ou Nenhum.

  • Completo   Essa configuração armazena o valor completo da autorização de proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de usuário do TPM no Registro local. Com essa configuração, você pode usar o TPM sem a necessidade de armazenamento remoto ou externo do valor de autorização de proprietário do TPM. Essa configuração é adequada para cenários que não exigem que você redefina a lógica anti-hammering do TPM ou altere o valor de autorização de proprietário do TPM. Alguns aplicativos baseados no TPM podem exigir que essa configuração seja alterada para que os recursos que dependem da lógica anti-hammering do TPM possam ser usados.

  • Delegado   Essa configuração armazena somente o blob de delegação administrativa do TPM e o blob de delegação de usuário do TPM no Registro local. Essa configuração é adequada para uso com aplicativos baseados no TPM que dependem da lógica de anti-hammering do TPM. Quando você usar essa configuração, recomendamos o armazenamento externo ou remoto para o valor completo de autorização de proprietário do TPM — por exemplo, ao fazer backup do valor nos Serviços de Domínio do Active Directory (AD DS).

  • Nenhum   Essa configuração fornece compatibilidade com aplicativos e sistemas operacionais anteriores. Você também pode usá-la nos cenários em que a autorização de proprietário do TPM não pode ser armazenada localmente. O uso dessa configuração pode causar problemas com alguns aplicativos baseados no TPM.

Observação  

Se a configuração de autenticação do TPM gerenciada pelo sistema operacional for alterada de Completo para Delegado, o valor completo de autorização de proprietário do TPM será gerado novamente e quaisquer cópias do valor de autorização de proprietário do TPM definido anteriormente serão inválidas. Se você estiver fazendo backup do valor de autorização de proprietário do TPM para o AD DS, o backup do novo valor de autorização de proprietário para o AD DS será automático quando houver uma alteração.

 

Informações do Registro

Chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM

DWORD: OSManagedAuthLevel

A tabela a seguir mostra os valores de autorização de proprietário do TPM no Registro.

Dados de valor Configuração

0

Nenhum

2

Delegado

4

Completo

 

Se você habilitar esta configuração de política, o sistema operacional Windows armazenará a autorização de proprietário do TPM no Registro do computador local de acordo com a configuração de autenticação do TPM selecionada.

Se você desabilitar ou não definir esta configuração de política e a configuração de política Ativar backup do TPM nos Serviços de Domínio do Active Directory também for desabilitada ou não estiver configurada, a configuração padrão armazenará o valor completo de autorização do TPM no Registro local. Se essa política estiver desabilitada ou não estiver configurada e a configuração de política Ativar backup do TPM nos Serviços de Domínio do Active Directory for habilitada, somente os blobs de delegação administrativa e delegação do usuário serão armazenados no Registro local.

Duração de Bloqueio do Usuário Padrão

Esta configuração de política permite que você gerencie a duração em minutos da contagem de falhas de autorização de usuário padrão para os comandos do Trusted Platform Module (TPM) que exigem autorização. Uma falha de autorização ocorre sempre que um usuário padrão envia um comando ao TPM e recebe uma resposta de erro indicando que uma falha de autorização ocorreu. As falhas de autorização anteriores à duração definida são ignoradas. Se o número de comandos do TPM com uma falha de autorização dentro da duração de bloqueio for igual a um limite, um usuário padrão será impedido de enviar comandos que exijam autorização para o TPM.

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

O TPM é projetado para se proteger contra ataques de detecção de senhas entrando em um modo de bloqueio de hardware quando recebe muitos comandos com um valor de autorização incorreto. Quando o TPM entra em um modo de bloqueio, isso é global para todos os usuários (incluindo administradores) e recursos do Windows, como a Criptografia de Unidade de Disco BitLocker.

O número de falhas de autorização que um TPM permite e o período de tempo em que permanece bloqueado varia de acordo com o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos de tempo sucessivamente longos, com menos falhas de autorização, dependendo das últimas falhas. Alguns TPMs podem exigir uma reinicialização do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema fique ativado para que decorram ciclos suficientes do relógio antes que o TPM saia do modo de bloqueio.

Essa configuração ajuda os administradores a impedir que o hardware do TPM entre em um modo de bloqueio ao diminuir a velocidade na qual os usuários padrão podem enviar comandos que exigem autorização para o TPM.

Para cada usuário padrão, dois limites se aplicam. Exceder o limite impede que o usuário envie um comando que exige autorização para o TPM. Use as seguintes configurações de política para definir a duração de bloqueio:

  • Limite Individual de Bloqueio do Usuário Padrão   Esse valor é o número máximo de falhas de autorização que cada usuário padrão pode ter antes de ser proibido de enviar comandos que exigem autorização para o TPM.

  • Limite Total de Bloqueio do Usuário Padrão   Esse valor é o número máximo total de falhas de autorização que todos os usuários padrão podem ter antes de serem proibidos de enviar comandos que exigem autorização para o TPM.

Um administrador com a senha de proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando o Console de Gerenciamento do TPM (tpm.msc). Cada vez que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de usuário padrão do TPM anteriores são ignoradas. Isso permite que os usuários padrão possam usar o TPM de imediato normalmente.

Se você não definir esta configuração de política, um valor padrão de 480 minutos (8 horas) será usado.

Limite Individual de Bloqueio do Usuário Padrão

Esta configuração de política permite que você gerencie o número máximo de falhas de autorização para cada usuário padrão no Trusted Platform Module (TPM). Esse valor é o número máximo de falhas de autorização que cada usuário padrão pode ter antes de ser proibido de enviar comandos que exigem autorização para o TPM. Se o número de falhas de autorização para o usuário dentro da duração definida na configuração de política Duração de Bloqueio do Usuário Padrão for igual a esse valor, o usuário padrão será impedido de enviar comandos que exigem autorização para o Trusted Platform Module (TPM).

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

Essa configuração ajuda os administradores a impedir que o hardware do TPM entre em um modo de bloqueio ao diminuir a velocidade na qual os usuários padrão podem enviar comandos que exigem autorização para o TPM.

Uma falha de autorização ocorre sempre que um usuário padrão envia um comando ao TPM e recebe uma resposta de erro indicando que uma falha de autorização ocorreu. Falhas de autorização anteriores à duração são ignoradas.

Um administrador com a senha de proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando o Console de Gerenciamento do TPM (tpm.msc). Cada vez que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de usuário padrão do TPM anteriores são ignoradas. Isso permite que os usuários padrão possam usar o TPM de imediato normalmente.

Se você não definir esta configuração de política, um valor padrão de 4 será usado. Um valor de zero significa que o sistema operacional não permitirá que os usuários padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Limite Total de Bloqueio do Usuário Padrão

Esta configuração de política permite que você gerencie o número máximo de falhas de autorização para todos os usuários padrão no Trusted Platform Module (TPM). Se o número total de falhas de autorização para todos os usuários padrão dentro da duração definida na política Duração de Bloqueio do Usuário Padrão for igual a esse valor, todos os usuários padrão serão impedidos de enviar comandos que exigem autorização para o Trusted Platform Module (TPM).

Observação  

Esta configuração de política se aplica aos sistemas operacionais Windows listados na tabela de versão.

 

Essa configuração ajuda os administradores a impedir que o hardware do TPM entre em um modo de bloqueio porque diminui a velocidade na qual os usuários padrão podem enviar comandos que exigem autorização para o TPM.

Uma falha de autorização ocorre sempre que um usuário padrão envia um comando ao TPM e recebe uma resposta de erro indicando que uma falha de autorização ocorreu. Falhas de autorização anteriores à duração são ignoradas.

Para cada usuário padrão, dois limites se aplicam. Exceder o limite impedirá que o usuário padrão envie um comando que exige autorização para o TPM.

  1. O valor do limite individual de bloqueio do usuário padrão é o número máximo de falhas de autorização que cada usuário padrão pode ter antes de ser proibido de enviar comandos que exigem autorização para o TPM.

  2. O valor do limite total de bloqueio do usuário padrão é o número máximo total de falhas de autorização que todos os usuários padrão podem ter antes de serem proibidos de enviar comandos que exigem autorização para o TPM.

O TPM é projetado para se proteger contra ataques de detecção de senhas entrando em um modo de bloqueio de hardware quando recebe muitos comandos com um valor de autorização incorreto. Quando o TPM entra em um modo de bloqueio, isso é global para todos os usuários (incluindo administradores) e recursos do Windows, como a Criptografia de Unidade de Disco BitLocker.

O número de falhas de autorização que um TPM permite e o período de tempo em que permanece bloqueado varia de acordo com o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos de tempo sucessivamente longos, com menos falhas de autorização, dependendo das últimas falhas. Alguns TPMs podem exigir uma reinicialização do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema fique ativado para que decorram ciclos suficientes do relógio antes que o TPM saia do modo de bloqueio.

Um administrador com a senha de proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando o Console de Gerenciamento do TPM (tpm.msc). Cada vez que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de usuário padrão do TPM anteriores são ignoradas. Isso permite que os usuários padrão possam usar o TPM de imediato normalmente.

Se você não definir esta configuração de política, um valor padrão de 9 será usado. Um valor de zero significa que o sistema operacional não permitirá que os usuários padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Recursos adicionais

Visão geral da tecnologia Trusted Platform Module

Cmdlets do TPM no Windows PowerShell

Preparar sua organização para o BitLocker: planejamento e políticas - configurações do TPM