Управление командами доверенного платформенного модуля (TPM)

В этом разделе для ИТ-специалистов описывается, как управлять тем, какие команды доверенного платформенного модуля (TPM) будут доступны пользователям домена и локальным пользователям.

После того, как пользователь компьютера возьмет под контроль TPM, владелец TPM может ограничить команды TPM, которые разрешено запускать, создав список заблокированных команд TPM. Можно применить созданный список ко всем компьютерам в домене, используя групповую политику, или же можно создать список для отдельных компьютеров, используя консоль управления TPM. Поскольку некоторые поставщики оборудования могут предоставлять дополнительные команды или организация TCG может принять решение о добавлении команд в будущем, консоль управления TPM также поддерживает возможность блокировать новые команды.

Администратор домена может настроить список заблокированных команд TPM с помощью групповой политики. Локальные администраторы не имеют прав разрешать выполнение команд TPM, заблокированных с помощью групповой политики. Дополнительные сведения о такой настройке групповой политики см. в разделе Параметры групповой политики TPM.

Локальные администраторы могут блокировать команды с помощью консоли управления TPM, и команды, включенные в список заблокированных по умолчанию, также блокируется, если только параметры по умолчанию для групповой политики не изменились.

В политике есть два параметра, которые регулируют такое использование и разрешают запуск команд TPM. Дополнительные сведения о таких настройках политики см. в разделе Параметры групповой политики TPM.

Процедура, приведенная ниже, описывает управление списками команд TPM. Вы должны быть участником локальной группы администраторов.

Mt431882.wedge(ru-ru,VS.85).gifИспользование редактора локальных групповых политик для блокирования команд TPM

  1. Откройте локальный редактор групповой политики (gpedit.msc). Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

    Примечание  

    Администраторы с соответствующими правами в домене могут настраивать объекты групповой политики, которые можно применить через доменные службы Active Directory (AD DS).

     
  2. В дереве консоли в разделе Конфигурация компьютера разверните Административные шаблоны и выберите Система.

  3. В разделе Система щелкните Службы доверенного платформенного модуля.

  4. В области сведений дважды щелкните Настроить список заблокированных команд TPM.

  5. Щелкните Включено, а затем выберите Показать.

  6. Для каждой команды, которую необходимо заблокировать, нажмите Добавить, введите номер команды и щелкните ОК.

    Примечание  

    Список команд см. в разделе Спецификации доверенного платформенного модуля (TPM).

     
  7. После указания номера каждой команды, которую следует заблокировать, дважды нажмите ОК.

  8. Закройте редактор локальных групповых политик.

Mt431882.wedge(ru-ru,VS.85).gifИспользование консоли управления TPM для блокирования или разрешения выполнения команд TPM

  1. Откройте консоль управления TPM (tpm.msc)

  2. Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

  3. В дереве консоли щелкните Управление командами. Отобразится список команд TPM.

  4. В этом списке выберите команду, которую необходимо заблокировать или разрешить.

  5. В разделе Действия выберите Заблокировать выбранную команду или Разрешить выполнение выбранной команды. Если вариант Разрешить выполнение выбранной команды недоступен, это значит, что на данный момент команда заблокирована групповой политикой.

Mt431882.wedge(ru-ru,VS.85).gifБлокирование новых команд

  1. Откройте консоль управления TPM (tpm.msc).

    Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

  2. В дереве консоли щелкните Управление командами. Отобразится список команд TPM.

  3. В области Действие выберите Заблокировать новую команду. Отобразится диалоговое окно Блокирование новой команды.

  4. В текстовом поле Номер команды введите номер новой команды, которую необходимо заблокировать, а затем нажмите ОК. Введенный номер команды добавляется в список заблокированных команд.

Использование командлетов TPM

Если вы используете Windows PowerShell для управления компьютерами, вы также можете управлять доверенными платформенными модулями с помощью Windows PowerShell. Для установки командлетов TPM введите следующую команду:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Подробные сведения об отдельных командлетах см. в разделе Командлеты TPM в Windows PowerShell

Дополнительные ресурсы

Дополнительные сведения о доверенном платформенном модуле см. в разделе Обзор технологии доверенных платформенных модулей.

 

 

Показ: