TPM-Gruppenrichtlinieneinstellungen
In diesem Thema werden die TPM-Dienste (Trusted Platform Module) beschrieben, die mithilfe von Gruppenrichtlinie Einstellungen zentral gesteuert werden können. Die Gruppenrichtlinie Einstellungen für TPM-Dienste befinden sich unter Computerkonfiguration>Administrative Vorlagen>System>Trusted Platform Module Services.
Konfigurieren der Ebene der TPM-Besitzerautorisierungsinformationen, die für das Betriebssystem verfügbar sind
Wichtig
Ab Windows 10 Version 1703 ist der Standardwert 5. Dieser Wert wird während der Bereitstellung implementiert, sodass eine andere Windows-Komponente ihn entweder löschen oder den Besitz übernehmen kann, je nach Systemkonfiguration. Für TPM 2.0 bedeutet der Wert 5, dass die Sperrautorisierung beibehalten wird. Für TPM 1.2 bedeutet dies, dass die Vollständige TPM-Besitzerautorisierung verworfen und nur die delegierte Autorisierung beibehalten wird.
Diese Richtlinieneinstellung hat konfiguriert, welche TPM-Autorisierungswerte in der Registrierung des lokalen Computers gespeichert werden. Bestimmte Autorisierungswerte sind erforderlich, damit Windows bestimmte Aktionen ausführen kann.
| TPM 1.2-Wert | TPM 2.0-Wert | Zweck | Auf Ebene 0 gehalten? | Auf Ebene 2 gehalten? | Auf Ebene 4 gehalten? |
|---|---|---|---|---|---|
| OwnerAuthAdmin | StorageOwnerAuth | Erstellen von SRK | Nein | Ja | Ja |
| OwnerAuthEndorsement | EndorsementAuth | Erstellen oder Verwenden von EK (nur 1.2: Erstellen von AIK) | Nein | Ja | Ja |
| OwnerAuthFull | LockoutAuth | Schutz vor Wörterbuchangriffen zurücksetzen/ändern | Nein | Nein | Ja |
Es gibt drei Authentifizierungseinstellungen für TPM-Besitzer, die vom Windows-Betriebssystem verwaltet werden. Sie können den Wert Vollständig, Delegat oder Keine auswählen.
Vollständig: Diese Einstellung speichert die vollständige TPM-Besitzerautorisierung, das TPM-Administratordelegierungsblob und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung. Mit dieser Einstellung können Sie das TPM verwenden, ohne dass der Remotespeicher oder externe Speicher des TPM-Besitzerautorisierungswerts erforderlich ist. Diese Einstellung eignet sich für Szenarien, in denen Sie die TPM-Anti-Hammering-Logik nicht zurücksetzen oder den TPM-Besitzerautorisierungswert ändern müssen. Einige TPM-basierte Anwendungen erfordern möglicherweise, dass diese Einstellung geändert wird, bevor Features verwendet werden können, die von der TPM-Antihämmerlogik abhängen. Die vollständige Besitzerautorisierung in TPM 1.2 ähnelt der Sperrautorisierung in TPM 2.0. Die Besitzerautorisierung hat eine andere Bedeutung für TPM 2.0.
Delegiert: Diese Einstellung speichert nur das Blob für die TPM-Administratordelegierung und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung. Diese Einstellung eignet sich für die Verwendung mit TPM-basierten Anwendungen, die von der TPM-Antihammerlogik abhängig sind. Dies ist die Standardeinstellung in Windows vor Version 1703.
Keine: Diese Einstellung bietet Kompatibilität mit früheren Betriebssystemen und Anwendungen. Sie können es auch für Szenarien verwenden, in der die TPM-Besitzerautorisierung nicht lokal gespeichert werden kann. Die Verwendung dieser Einstellung kann probleme mit einigen TPM-basierten Anwendungen verursachen.
Hinweis
Wenn die Einstellung für die vom Betriebssystem verwaltete TPM-Authentifizierung von Vollständig in Delegiert geändert wird, wird der Autorisierungswert des vollständigen TPM-Besitzers erneut generiert, und alle Kopien des zuvor festgelegten TPM-Besitzerautorisierungswerts sind ungültig.
Registrierungsinformationen
Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel
Die folgende Tabelle zeigt die TPM-Besitzerautorisierungswerte in der Registrierung.
| Wertdaten | Einstellung |
|---|---|
| 0 | Keine |
| 2 | Delegiert |
| 4 | Vollständig |
Wenn Sie diese Richtlinieneinstellung aktivieren, speichert das Windows-Betriebssystem die TPM-Besitzerautorisierung gemäß der ausgewählten TPM-Authentifizierungseinstellung in der Registrierung des lokalen Computers.
Wenn Sie diese Richtlinieneinstellung auf Windows 10 vor Version 1607 deaktivieren oder nicht konfigurieren und die Richtlinieneinstellung TPM-Sicherung in Active Directory Domain Services aktivieren ebenfalls deaktiviert oder nicht konfiguriert ist, besteht die Standardeinstellung darin, den vollständigen TPM-Autorisierungswert in der lokalen Registrierung zu speichern. Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist und die Richtlinieneinstellung TPM-Sicherung auf Active Directory Domain Services aktivieren aktiviert ist, werden nur die Administratordelegierung und die Benutzerdelegierungsblobs in der lokalen Registrierung gespeichert.
Standard-Benutzersperrdauer
Mit dieser Richtlinieneinstellung können Sie die Dauer in Minuten für die Zählung von Standardbenutzerautorisierungsfehlern für TPM-Befehle (Trusted Platform Module) verwalten, die eine Autorisierung erfordern. Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die von Ihnen festgelegte Dauer sind, werden ignoriert. Wenn die Anzahl der TPM-Befehle mit einem Autorisierungsfehler innerhalb der Sperrdauer einem Schwellenwert entspricht, wird ein Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das TPM erfordern.
Das TPM ist so konzipiert, dass es sich vor Angriffen mit Kennworterraten schützt, indem es in einen Hardwaresperrmodus wechselt, wenn es zu viele Befehle mit einem falschen Autorisierungswert empfängt. Wenn das TPM in einen Sperrmodus wechselt, ist es global für alle Benutzer (einschließlich Administratoren) und für Windows-Features wie BitLocker-Laufwerkverschlüsselung.
Mit dieser Einstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, indem sie die Geschwindigkeit verlangsamen, mit der Standardbenutzer Befehle senden können, die eine Autorisierung an das TPM erfordern.
Für jeden Standardbenutzer gelten zwei Schwellenwerte. Das Überschreiten eines schwellenwerts verhindert, dass der Benutzer einen Befehl an das TPM sendet, der eine Autorisierung erfordert. Verwenden Sie die folgenden Richtlinieneinstellungen, um die Sperrdauer festzulegen:
- Individueller Standardsperrschwellenwert für Benutzer: Dieser Wert ist die maximale Anzahl von Autorisierungsfehlern, die für jeden Standardbenutzer auftreten können, bevor der Benutzer keine Befehle senden darf, die eine Autorisierung an das TPM erfordern.
- Schwellenwert für die Gesamtsperrung des Standardbenutzers: Dieser Wert ist die maximale Gesamtanzahl von Autorisierungsfehlern, die für alle Standardbenutzer auftreten können, bevor alle Standardbenutzer keine Befehle senden dürfen, die eine Autorisierung an das TPM erfordern.
Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrlogik des TPM mithilfe des Windows Defender Security Center vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Dadurch können Standardbenutzer das TPM sofort normal verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird ein Standardwert von 480 Minuten (8 Stunden) verwendet.
Standard-Benutzer-Einzelsperrungsschwellenwert
Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für jeden Standardbenutzer für das Trusted Platform Module (TPM) verwalten. Dieser Wert ist die maximale Anzahl von Autorisierungsfehlern, die jeder Standardbenutzer haben kann, bevor der Benutzer keine Befehle senden darf, die eine Autorisierung an das TPM erfordern. Wenn die Anzahl der Autorisierungsfehler für den Benutzer innerhalb der Dauer, die für die Richtlinieneinstellung Standard-Benutzersperrdauer festgelegt ist, diesem Wert entspricht, wird der Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das Trusted Platform Module (TPM) erfordern.
Mit dieser Einstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, indem sie die Geschwindigkeit verlangsamen, mit der Standardbenutzer Befehle senden können, die eine Autorisierung an das TPM erfordern.
Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die Dauer sind, werden ignoriert.
Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrlogik des TPM mithilfe des Windows Defender Security Center vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Dadurch können Standardbenutzer das TPM sofort normal verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 4 verwendet. Der Wert 0 bedeutet, dass das Betriebssystem nicht zulässt, dass Standardbenutzer Befehle an das TPM senden können, was zu einem Autorisierungsfehler führen kann.
Schwellenwert für die Gesamtsperrung durch Standardbenutzer
Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für alle Standardbenutzer für das Trusted Platform Module (TPM) verwalten. Wenn die Gesamtanzahl der Autorisierungsfehler für alle Standardbenutzer innerhalb der Dauer, die für die Richtlinie Standard-Benutzersperrdauer festgelegt ist, diesem Wert entspricht, werden alle Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das Trusted Platform Module (TPM) erfordern.
Diese Einstellung hilft Administratoren dabei, zu verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, da sie die Geschwindigkeit verlangsamt, mit der Standardbenutzer Befehle senden können, die eine Autorisierung erfordern.
Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die Dauer sind, werden ignoriert.
Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrlogik des TPM mithilfe des Windows Defender Security Center vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Dadurch können Standardbenutzer das TPM sofort normal verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 9 verwendet. Der Wert 0 bedeutet, dass das Betriebssystem nicht zulässt, dass Standardbenutzer Befehle an das TPM senden können, was zu einem Autorisierungsfehler führen kann.
Konfigurieren sie das System für die Verwendung der Legacyeinstellung Parameter zur Schutz vor Wörterbuchangriffen für TPM 2.0
Diese Richtlinieneinstellung wurde in Windows 10 Version 1703 eingeführt und konfiguriert das TPM so, dass die Parameter zur Verhinderung von Wörterbuchangriffen (Sperrschwellenwert und Wiederherstellungszeit) für die Werte verwendet werden, die für Windows 10 Version 1607 und niedriger verwendet wurden.
Wichtig
Das Festlegen dieser Richtlinie wird nur wirksam, wenn:
- Das TPM wurde ursprünglich mit einer Windows-Version nach Windows 10 Version 1607 vorbereitet.
- Das System verfügt über ein TPM 2.0.
Hinweis
Das Aktivieren dieser Richtlinie wird erst wirksam, nachdem der TPM-Wartungstask ausgeführt wurde (dies geschieht in der Regel nach einem Systemneustart). Sobald diese Richtlinie auf einem System aktiviert wurde und wirksam wurde (nach einem Systemneustart), hat die Deaktivierung keine Auswirkungen, und das TPM des Systems bleibt mit den Legacyparametern zur Schutz vor Wörterbuchangriffen konfiguriert, unabhängig vom Wert dieser Gruppenrichtlinie. Die einzige Möglichkeit, dass die deaktivierte Einstellung dieser Richtlinie auf einem System wirksam wird, in dem sie einmal aktiviert wurde, sind die folgenden:
- Deaktivieren von Gruppenrichtlinien
- Löschen des TPM auf dem System
TPM-Gruppenrichtlinie-Einstellungen in Windows-Sicherheit
Sie können ändern, was Benutzern über TPM in Windows-Sicherheit angezeigt wird. Die Gruppenrichtlinie Einstellungen für den TPM-Bereich in Windows-Sicherheit befinden sich unter Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows-Sicherheit>Gerätesicherheit.
Deaktivieren der Schaltfläche "TPM löschen"
Wenn Sie nicht möchten, dass Benutzer in Windows-Sicherheit auf die Schaltfläche TPM löschen klicken können, können Sie sie mit dieser Gruppenrichtlinie-Einstellung deaktivieren. Wählen Sie Aktiviert aus, damit die Schaltfläche TPM löschen nicht mehr zur Verwendung verfügbar ist.
Ausblenden der Tpm-Firmwareupdateempfehlung
Wenn Sie nicht möchten, dass Benutzern die Empfehlung zum Aktualisieren der TPM-Firmware angezeigt wird, können Sie sie mit dieser Einstellung deaktivieren. Wählen Sie Aktiviert aus, um zu verhindern, dass Benutzern eine Empfehlung angezeigt wird, ihre TPM-Firmware zu aktualisieren, wenn eine anfällige Firmware erkannt wird.
Verwandte Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für