TPM 组策略设置
本主题面向 IT 专业人员介绍了使用组策略设置可以集中控制的受信任的平台模块 (TPM) 服务。
TPM 服务组策略设置位于以下位置:
Computer Configuration\Administrative Templates\System\Trusted Platform Module Services\
| 设置 | Windows 10 | Windows Server 2012 R2、Windows 8.1 和 Windows RT | Windows Server 2012、Windows 8 和 Windows RT | Windows Server 2008 R2 和 Windows 7 | Windows Server 2008 和 Windows Vista |
|---|---|---|---|---|---|
启用 TPM 备份到 Active Directory 域服务 |
X |
X |
X |
X |
X |
配置阻止的 TPM 命令的列表 |
X |
X |
X |
X |
X |
忽略阻止的 TPM 命令的默认列表 |
X |
X |
X |
X |
X |
忽略阻止的 TPM 命令的本地列表 |
X |
X |
X |
X |
X |
配置操作系统可用的 TPM 所有者授权信息级别 |
X |
X |
X |
||
标准用户锁定持续时间 |
X |
X |
X |
||
标准用户单锁定阈值 |
X |
X |
X |
||
标准用户锁定总阈值 |
X |
X |
X |
启用 TPM 备份到 Active Directory 域服务
此策略设置允许你管理 Active Directory 域服务 (AD DS) 备份 TPM 所有者信息。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
TPM 所有者信息包括 TPM 所有者密码的加密哈希。某些 TPM 命令只能由 TPM 所有者运行。此哈希授权 TPM 运行这些命令。
要点
若要从运行 Windows 10、Windows 8.1 或 Windows 8 的计算机备份 TPM 所有者信息,可能需要首先设置相应的架构扩展以及域上的访问控制设置,以便可以成功进行 AD DS 备份。默认情况下,Windows Server 2012 R2 和 Windows Server 2012 包含所需的架构扩展。有关详细信息,请参阅支持 TPM 备份的 AD DS 架构扩展。
如果不先设置所有者,TPM 将无法用于为 BitLocker 驱动器加密和其他应用程序提供增强的安全功能。若要获取具有所有者密码的 TPM 的所有权,请在本地计算机上的命令提示符下,键入 tpm.msc 以打开 TPM 管理控制台,并选择“初始化 TPM”的操作。如果 TPM 所有者信息丢失或不可用,通过运行 tpm.msc 可以执行受限的 TPM 管理。
如果启用此策略设置,则在使用 Windows 设置或更改 TPM 所有者密码时,TPM 所有者信息会自动以无提示方式备份到 AD DS。启用此策略设置时,不能设置或更改 TPM 所有者密码,除非计算机已连接到域且 AD DS 备份成功。
如果你禁用或未配置此策略设置,TPM 所有者信息将不会备份到 AD DS。
配置阻止的 TPM 命令的列表
此策略设置允许你管理受 Windows 阻止的受信任的平台模块 (TPM) 命令的组策略列表。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
如果启用此策略设置,Windows 将阻止指定的命令发送到计算机上的 TPM。TPM 命令是按命令编号引用的。例如,命令编号 129 是“TPM_OwnerReadInternalPub”,而命令编号 170 是“TPM_FieldUpgrade”****。若要查找与每个 TPM 命令关联的命令编号,请在命令提示符下,键入 tpm.msc 以打开 TPM 管理控制台并导航到“命令管理”部分。
如果禁用或未配置此策略设置,则仅通过默认列表或本地列表指定的这些 TPM 命令可能会被 Windows 阻止。已阻止 TPM 命令的默认列表由 Windows 预配置。
可以通过在命令提示符下键入 tpm.msc、导航到“命令管理”部分,然后公开“在默认阻止列表上”****列,来查看默认列表。
通过运行 TPM 管理控制台或使用 Win32_Tpm 接口执行脚本,来配置组策略之外的已阻止 TPM 命令的本地列表。
有关如何强制执行或忽略已阻止 TPM 命令的默认列表和本地列表的信息,请参阅
忽略阻止的 TPM 命令的默认列表
忽略阻止的 TPM 命令的本地列表
忽略阻止的 TPM 命令的默认列表
此策略设置允许你强制执行或忽略计算机的已阻止的受信任平台模块 (TPM) 命令的默认列表。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
已阻止 TPM 命令的默认列表由 Windows 预配置。可以通过在命令提示符下键入 tpm.msc 以打开 TPM 管理控制台、导航到“命令管理”部分,然后公开“在默认阻止列表上”****列,来查看默认列表。 另请参阅相关策略设置配置阻止的 TPM 命令列表。
如果启用此策略设置,Windows 操作系统将忽略计算机的已阻止 TPM 命令的默认列表,并且它仅将阻止由组策略或本地列表指定的这些 TPM 命令。
如果禁用或未配置此策略设置,Windows 将阻止默认列表中的 TPM 命令,以及由组策略和已阻止的 TPM 命令的本地列表指定的命令。
忽略阻止的 TPM 命令的本地列表
此策略设置允许你强制执行或忽略计算机的已阻止的受信任平台模块 (TPM) 命令的本地列表。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
通过在命令提示符下键入 tpm.msc 以打开 TPM 管理控制台或使用 Win32_Tpm 接口执行脚本,来配置组策略之外的已阻止 TPM 命令的本地列表。(已阻止 TPM 命令的默认列表由 Windows 预配置。)另请参阅配置阻止的 TPM 命令列表的相关策略设置。
如果启用此策略设置,Windows 操作系统将忽略计算机的已阻止的 TPM 命令的本地列表,并且它仅将阻止由组策略或默认列表指定的这些 TPM 命令。
如果禁用或未配置此策略设置,Windows 将阻止本地列表中的 TPM 命令,以及组策略和已阻止的 TPM 命令的默认列表中指定的命令。
配置操作系统可用的 TPM 所有者授权信息级别
此策略设置配置多少条 TPM 所有者授权信息将存储在本地计算机的注册表中。Windows 操作系统和基于 TPM 的应用程序可以在不要求用户输入 TPM 所有者密码的情况下,执行 TPM 中需要 TPM 所有者授权的某些操作,具体取决于本地存储 TPM 所有者授权信息的数量。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
存在受 Windows 操作系统管理的三个 TPM 所有者身份验证设置。可以选择的值为“完全”、“委派”****或“无”。
“完全”**** 此设置在本地注册表中存储完整的 TPM 所有者授权、TPM 管理委派 Blob 和 TPM 用户委派 Blob。使用此设置,无需远程或外部存储 TPM 所有者授权值即可使用 TPM。此设置适用于不需要你重置 TPM 反恶意攻击逻辑或更改 TPM 所有者授权值的方案。某些基于 TPM 的应用程序可能需要在可以使用依赖于 TPM 反恶意攻击逻辑之前更改此设置。
“委派” 此设置仅在本地注册表中存储 TPM 管理委派 Blob 和 TPM 用户委派 Blob。此设置适用于使用依赖于 TPM 反恶意攻击逻辑的基于 TPM 的应用程序。当你使用此设置时,我们建议针对完整的 TPM 所有者授权值使用外部或远程存储 — 例如,将值备份到 Active Directory 域服务 (AD DS) 中。
“无”**** 此设置提供了与以前的操作系统和应用程序的兼容性。还可以将它用于无法本地存储 TPM 所有者授权的方案。使用此设置可能会导致基于 TPM 的某些应用程序出现问题。
注意
如果操作系统管理的 TPM 身份验证设置从“完全”更改为“委派”****,将重新生成完整的 TPM 所有者授权值,并且任何之前设置的 TPM 所有者授权值的副本将无效。如果你要将 TPM 所有者授权值备份到 AD DS,则在更改所有者授权值后,新的所有者授权值将自动备份到 AD DS。
注册表信息
注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
下表显示注册表中的 TPM 所有者授权值。
| 数值数据 | 设置 |
|---|---|
0 |
无 |
2 |
委派 |
4 |
完全 |
如果启用此策略设置,Windows 操作系统将根据你选择的 TPM 身份验证设置在本地计算机的注册表中存储 TPM 所有者授权。
如果禁用或未配置此策略设置,并且还禁用或未配置“启用 TPM 备份到 Active Directory 域服务”策略设置,默认设置会将完整的 TPM 授权值存储在本地注册表中。如果禁用或未配置此策略设置,并且启用“启用 TPM 备份到 Active Directory 域服务”****策略设置,则仅管理委派和用户委派 Blob 会存储在本地注册表中。
标准用户锁定持续时间
此策略设置允许你管理以分钟为单位的持续时间,用于为需要授权的受信任的平台模块 (TPM) 命令计算标准用户授权失败的次数。每当标准用户向 TPM 发送命令并收到指示发生授权失败的错误响应时,就意味着发生了授权失败。将忽略早于你设置的持续时间的授权失败。如果锁定持续时间内带有授权失败的 TPM 命令的数量等于阈值,则将阻止标准用户向 TPM 发送需要授权的命令。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
TPM 设计为在其收到过多的带有错误授权值的命令后,通过进入硬件锁定模式来保护自己免遭密码猜测攻击。当 TPM 进入锁定模式时,它全局适用于所有用户(包括管理员)和 Windows 功能(例如 BitLocker 驱动器加密)。
TPM 允许的授权失败次数以及保持锁定状态的持续时间因 TPM 制造商的不同而有所不同。某些 TPM 在经历较少的授权失败次数后就可能相继进入锁定模式相当长的时间,具体取决于过去的失败。某些 TPM 可能需要重新启动系统才能退出该锁定模式。其他 TPM 可能要求系统在 TPM 退出锁定模式之前处于启动状态足够长的时钟周期。
此设置通过降低标准用户向 TPM 发送需要授权的命令的速度,来帮助管理员阻止 TPM 硬件进入锁定模式。
对于每个标准用户,将应用两个阈值。超过任一阈值将阻止用户向 TPM 发送需要授权的命令。使用以下策略设置来设置锁定持续时间:
标准用户单锁定阈值 此值是每个标准用户可以有的授权失败最大次数,超过此值后将不允许用户向 TPM 发送需要授权的命令。
标准用户总锁定阈值 此值是所有标准用户可以有的授权失败最大总次数,超过此值后将不允许标准用户向 TPM 发送需要授权的命令。
具有 TPM 所有者密码的管理员完全可以使用 TPM 管理控制台 (tpm.msc) 来重置 TPM 的硬件锁定逻辑。每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前所有的标准用户 TPM 授权失败。这可立即允许标准用户正常使用 TPM。
如果未配置此策略设置,将使用默认值 480 分钟(8 小时)。
标准用户单锁定阈值
此策略设置允许针对受信任的平台模块 (TPM) 为每个标准用户管理最大授权失败次数。此值是每个标准用户可以有的授权失败最大次数,超过此值后将不允许用户向 TPM 发送需要授权的命令。如果针对“标准用户锁定持续时间”策略设置而设置的持续时间内用户的授权失败次数等于此值,将阻止标准用户向受信任的平台模块 (TPM) 发送需要授权的命令。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
此设置通过降低标准用户向 TPM 发送需要授权的命令的速度,来帮助管理员阻止 TPM 硬件进入锁定模式。
每当标准用户向 TPM 发送命令并收到指示发生授权失败的错误响应时,就意味着发生了授权失败。将忽略早于持续时间的授权失败。
具有 TPM 所有者密码的管理员完全可以使用 TPM 管理控制台 (tpm.msc) 来重置 TPM 的硬件锁定逻辑。每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前所有的标准用户 TPM 授权失败。这可立即允许标准用户正常使用 TPM。
如果未配置此策略设置,将使用默认值 4。值为零表示操作系统将不允许标准用户向 TPM 发送命令,这可能会导致授权失败。
标准用户锁定总阈值
此策略设置允许针对受信任的平台模块 (TPM) 为所有标准用户管理最大授权失败次数。如果针对“标准用户锁定持续时间”策略设置的持续时间内所有标准用户的授权失败总数等于此值,将阻止所有标准用户向受信任的平台模块 (TPM) 发送需要授权的命令。
注意
此策略设置适用于版本表中列出的 Windows 操作系统 。
此设置可帮助管理员阻止 TPM 硬件进入锁定模式,因为它降低了标准用户可以向 TPM 发送需要授权的命令的速度。
每当标准用户向 TPM 发送命令并收到指示发生授权失败的错误响应时,就意味着发生了授权失败。将忽略早于持续时间的授权失败。
对于每个标准用户,将应用两个阈值。超过任一阈值将阻止标准用户向 TPM 发送需要授权的命令。
标准用户单锁定值是每个标准用户可以有的授权失败最大次数,超过此值后将不允许用户向 TPM 发送需要授权的命令。
标准用户总锁定阈值是所有标准用户可以有的授权失败最大总次数,超过此值后将不允许标准用户向 TPM 发送需要授权的命令。
TPM 设计为在其收到过多的带有错误授权值的命令后,通过进入硬件锁定模式来保护自己免遭密码猜测攻击。当 TPM 进入锁定模式后,它全局适用于所有用户(包括管理员)和 Windows 功能(例如 BitLocker 驱动器加密)。
TPM 允许的授权失败次数以及保持锁定状态的持续时间因 TPM 制造商的不同而有所不同。某些 TPM 在经历较少的授权失败次数后就可能相继进入锁定模式相当长的时间,具体取决于过去的失败。某些 TPM 可能需要重新启动系统才能退出该锁定模式。 其他 TPM 可能要求系统在 TPM 退出锁定模式之前处于启动状态足够长的时钟周期。
具有 TPM 所有者密码的管理员完全可以使用 TPM 管理控制台 (tpm.msc) 来重置 TPM 的硬件锁定逻辑。每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前所有的标准用户 TPM 授权失败。这可立即允许标准用户正常使用 TPM。
如果未配置此策略设置,将使用默认值 9。值为零表示操作系统将不允许标准用户向 TPM 发送命令,这可能会导致授权失败。