Teilen über


Richtlinien-CSP – ADMX_TPM

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

BlockedCommandsList_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name

Mit dieser Richtlinieneinstellung können Sie die Gruppenrichtlinienliste der TPM-Befehle (Trusted Platform Module) verwalten, die von Windows blockiert wurden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, blockiert Windows das Senden der angegebenen Befehle an das TPM auf dem Computer. AUF TPM-Befehle wird durch eine Befehlsnummer verwiesen. Beispielsweise ist die Befehlsnummer 129 TPM_OwnerReadInternalPub, und die Befehlsnummer 170 ist TPM_FieldUpgrade. Um die Befehlsnummer zu ermitteln, die jedem TPM-Befehl mit TPM 1.2 zugeordnet ist, führen Sie "tpm.msc" aus, und navigieren Sie zum Abschnitt "Befehlsverwaltung".

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können nur die TPM-Befehle, die über die Standard- oder lokalen Listen angegeben werden, von Windows blockiert werden. Die Standardliste der blockierten TPM-Befehle ist von Windows vorkonfiguriert. Sie können die Standardliste anzeigen, indem Sie "tpm.msc" ausführen, zum Abschnitt "Befehlsverwaltung" navigieren und die Spalte "Standardmäßige Sperrliste" sichtbar machen. Die lokale Liste der blockierten TPM-Befehle wird außerhalb der Gruppenrichtlinie durch Ausführen von "tpm.msc" oder durch Skripterstellung für die Win32_Tpm-Schnittstelle konfiguriert. Informationen zum Erzwingen oder Ignorieren der Standard- und lokalen Listen blockierter TPM-Befehle finden Sie in den entsprechenden Richtlinieneinstellungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name BlockedCommandsList_Name
Anzeigename Konfigurieren der Liste der blockierten TPM-Befehle
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands
Name des Registrierungswertes Aktiviert
ADMX-Dateiname TPM.admx

ClearTPMIfNotReady_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name

Diese Richtlinieneinstellung konfiguriert das System so, dass der Benutzer aufgefordert wird, das TPM zu löschen, wenn erkannt wird, dass sich das TPM in einem anderen Zustand als Bereit befindet. Diese Richtlinie wird nur wirksam, wenn sich das TPM des Systems in einem anderen Zustand als Bereit befindet. Dies gilt auch, wenn das TPM "Bereit, mit eingeschränkter Funktionalität" lautet. Die Aufforderung zum Löschen des TPM beginnt nach dem nächsten Neustart, wenn sich der Benutzer nur dann anmeldet, wenn der angemeldete Benutzer Teil der Gruppe Administratoren für das System ist. Die Eingabeaufforderung kann geschlossen werden, wird aber nach jedem Neustart und jeder Anmeldung erneut angezeigt, bis die Richtlinie deaktiviert ist oder sich das TPM im Zustand Bereit befindet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ClearTPMIfNotReady_Name
Anzeigename Konfigurieren Sie das System so, dass das TPM gelöscht wird, wenn es sich nicht in einem bereit-Zustand befindet.
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\TPM
Name des Registrierungswertes ClearTPMIfNotReadyGP
ADMX-Dateiname TPM.admx

IgnoreDefaultList_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name

Mit dieser Richtlinieneinstellung können Sie die Standardliste der blockierten TPM-Befehle (Trusted Platform Module) des Computers erzwingen oder ignorieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, ignoriert Windows die Standardliste der blockierten TPM-Befehle des Computers und blockiert nur die TPM-Befehle, die von der Gruppenrichtlinie oder der lokalen Liste angegeben werden.

Die Standardliste der blockierten TPM-Befehle ist von Windows vorkonfiguriert. Sie können die Standardliste anzeigen, indem Sie "tpm.msc" ausführen, zum Abschnitt "Befehlsverwaltung" navigieren und die Spalte "Standardmäßige Sperrliste" sichtbar machen. Die lokale Liste der blockierten TPM-Befehle wird außerhalb der Gruppenrichtlinie durch Ausführen von "tpm.msc" oder durch Skripterstellung für die Win32_Tpm-Schnittstelle konfiguriert. Informationen zum Konfigurieren der Gruppenrichtlinienliste blockierter TPM-Befehle finden Sie in der zugehörigen Richtlinieneinstellung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, blockiert Windows die TPM-Befehle in der Standardliste, zusätzlich zu den Befehlen in der Gruppenrichtlinie und lokalen Listen blockierter TPM-Befehle.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name IgnoreDefaultList_Name
Anzeigename Ignorieren der Standardliste blockierter TPM-Befehle
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\TPM\BlockedCommands
Name des Registrierungswertes IgnoreDefaultList
ADMX-Dateiname TPM.admx

IgnoreLocalList_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name

Mit dieser Richtlinieneinstellung können Sie die lokale Liste der blockierten TPM-Befehle (Trusted Platform Module) des Computers erzwingen oder ignorieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, ignoriert Windows die lokale Liste der blockierten TPM-Befehle des Computers und blockiert nur die TPM-Befehle, die von der Gruppenrichtlinie oder der Standardliste angegeben werden.

Die lokale Liste der blockierten TPM-Befehle wird außerhalb der Gruppenrichtlinie durch Ausführen von "tpm.msc" oder durch Skripterstellung für die Win32_Tpm-Schnittstelle konfiguriert. Die Standardliste der blockierten TPM-Befehle ist von Windows vorkonfiguriert. Informationen zum Konfigurieren der Gruppenrichtlinienliste blockierter TPM-Befehle finden Sie in der zugehörigen Richtlinieneinstellung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, blockiert Windows die TPM-Befehle in der lokalen Liste, zusätzlich zu den Befehlen in der Gruppenrichtlinie und Standardlisten blockierter TPM-Befehle.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name IgnoreLocalList_Name
Anzeigename Ignorieren der lokalen Liste blockierter TPM-Befehle
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\TPM\BlockedCommands
Name des Registrierungswertes IgnoreLocalList
ADMX-Dateiname TPM.admx

OptIntoDSHA_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name

Diese Gruppenrichtlinie aktiviert die Berichterstellung zum Nachweis der Geräteintegrität (DHA-report) auf unterstützten Geräten. Es ermöglicht es unterstützten Geräten, Informationen im Zusammenhang mit dem Device Health Attestation (Gerätestartprotokolle, PCR-Werte, TPM-Zertifikat usw.) bei jedem Start eines Geräts an den Device Health Attestation Service (DHA-Service) zu senden. Device Health Attestation Service überprüft den Sicherheitsstatus und die Integrität der Geräte und macht die Ergebnisse für Unternehmensadministratoren über ein cloudbasiertes Berichtsportal zugänglich. Diese Richtlinie ist unabhängig von DHA-Berichten, die von Geräteverwaltbarkeitslösungen (z. B. MDM oder SCCM) initiiert werden, und beeinträchtigt ihre Workflows nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name OptIntoDSHA_Name
Anzeigename Aktivieren der Überwachung und Berichterstellung für den Geräteintegritätsnachweis
Position Computerkonfiguration
Pfad Integritätsnachweisdienst für Systemgeräte >
Registrierungsschlüsselname Software\Policies\Microsoft\DeviceHealthAttestationService
Name des Registrierungswertes EnableDeviceHealthAttestationService
ADMX-Dateiname TPM.admx

OSManagedAuth_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name

Diese Richtlinieneinstellung konfiguriert, wie viele der TPM-Besitzerautorisierungsinformationen in der Registrierung des lokalen Computers gespeichert werden. Abhängig von der Menge der lokal gespeicherten TPM-Besitzerautorisierungsinformationen können das Betriebssystem und TPM-basierte Anwendungen bestimmte TPM-Aktionen ausführen, die eine TPM-Besitzerautorisierung erfordern, ohne dass der Benutzer das TPM-Besitzerkennwort eingeben muss.

Sie können festlegen, dass das Betriebssystem entweder den vollständigen TPM-Besitzerautorisierungswert, das TPM-Administratordelegierungsblob plus das TPM-Benutzerdelegierungsblob oder keine speichern soll.

Wenn Sie diese Richtlinieneinstellung aktivieren, speichert Windows die TPM-Besitzerautorisierung in der Registrierung des lokalen Computers gemäß der vom Betriebssystem verwalteten TPM-Authentifizierungseinstellung.

Wählen Sie die Vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Vollständig" aus, um die vollständige TPM-Besitzerautorisierung, das TPM-Administratordelegierungsblob und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung zu speichern. Diese Einstellung ermöglicht die Verwendung des TPM, ohne dass der Autorisierungswert des TPM-Besitzers remote oder extern gespeichert werden muss. Diese Einstellung eignet sich für Szenarien, die nicht davon abhängen, dass die TPM-Antihämmerlogik zurückgesetzt oder der TPM-Besitzerautorisierungswert geändert wird. Einige TPM-basierte Anwendungen erfordern möglicherweise, dass diese Einstellung geändert wird, bevor Features verwendet werden können, die von der TPM-Antihämmerlogik abhängen.

Wählen Sie die Vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Delegiert" aus, um nur das Blob für die TPM-Administratordelegierung und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung zu speichern. Diese Einstellung eignet sich für die Verwendung mit TPM-basierten Anwendungen, die von der TPM-Anti-Hammering-Logik abhängen.

Wählen Sie die Einstellung "Keine" für die vom Betriebssystem verwaltete TPM-Authentifizierung aus, um die Kompatibilität mit früheren Betriebssystemen und Anwendungen zu gewährleisten oder um szenarien zu verwenden, bei denen die TPM-Besitzerautorisierung nicht lokal gespeichert werden muss. Die Verwendung dieser Einstellung kann probleme mit einigen TPM-basierten Anwendungen verursachen.

Hinweis

Wenn die Einstellung für die vom Betriebssystem verwaltete TPM-Authentifizierung von "Vollständig" in "Delegiert" geändert wird, wird der autorisierungswert des vollständigen TPM-Besitzers erneut generiert, und alle Kopien des ursprünglichen TPM-Besitzerautorisierungswerts sind ungültig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name OSManagedAuth_Name
Anzeigename Konfigurieren der Ebene der TPM-Besitzerautorisierungsinformationen, die für das Betriebssystem verfügbar sind
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\TPM
ADMX-Dateiname TPM.admx

StandardUserAuthorizationFailureDuration_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name

Mit dieser Richtlinieneinstellung können Sie die Dauer in Minuten für die Zählung von Standardbenutzerautorisierungsfehlern für TPM-Befehle (Trusted Platform Module) verwalten, die eine Autorisierung erfordern. Wenn die Anzahl der TPM-Befehle mit einem Autorisierungsfehler innerhalb der Dauer einem Schwellenwert entspricht, wird ein Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das TPM erfordern.

Diese Einstellung hilft Administratoren dabei, zu verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, da sie die Geschwindigkeit verlangsamt, mit der Standardbenutzer Befehle senden können, die eine Autorisierung erfordern.

Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als diese Dauer sind, werden ignoriert.

Für jeden Standardbenutzer gelten zwei Schwellenwerte. Das Überschreiten eines schwellenwerts verhindert, dass der Standardbenutzer einen Befehl an das TPM sendet, der eine Autorisierung erfordert.

Der Wert "Standard User Lockout Threshold Individual" ist die maximale Anzahl von Autorisierungsfehlern, die bei jedem Standardbenutzer auftreten können, bevor der Benutzer keine Befehle senden darf, die eine Autorisierung an das TPM erfordern.

Der Schwellenwert für die Standardbenutzersperre ist die maximale Gesamtzahl von Autorisierungsfehlern, die bei allen Standardbenutzern auftreten können, bevor alle Standardbenutzer befehle, die eine Autorisierung erfordern, nicht an das TPM senden dürfen.

Das TPM ist so konzipiert, dass es sich vor Angriffen mit Kennworterraten schützt, indem es in einen Hardwaresperrmodus wechselt, wenn es zu viele Befehle mit einem falschen Autorisierungswert empfängt. Wenn das TPM in einen Sperrmodus wechselt, ist es global für alle Benutzer einschließlich Administratoren und Windows-Features wie BitLocker-Laufwerkverschlüsselung. Die Anzahl der Autorisierungsfehler, die ein TPM zulässt und wie lange es gesperrt bleibt, hängt vom TPM-Hersteller ab. Einige TPMs können den Sperrmodus für nacheinander längere Zeiträume mit weniger Autorisierungsfehlern je nach früheren Fehlern wechseln. Einige TPMs erfordern möglicherweise einen Systemneustart, um den Sperrmodus zu beenden. Andere TPMs erfordern möglicherweise, dass das System eingeschaltet ist, sodass genügend Taktzyklen verstreichen, bevor das TPM den Sperrmodus verlässt.

Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrungslogik des TPM mithilfe der TPM-Verwaltungskonsole (tpm.msc) vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Standardbenutzer können das TPM sofort wieder normal verwenden.

Wenn dieser Wert nicht konfiguriert ist, wird ein Standardwert von 480 Minuten (8 Stunden) verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name StandardUserAuthorizationFailureDuration_Name
Anzeigename Standard-Benutzersperrdauer
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\Tpm
Name des Registrierungswertes StandardUserAuthorizationFailureDuration
ADMX-Dateiname TPM.admx

StandardUserAuthorizationFailureIndividualThreshold_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name

Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für jeden Standardbenutzer für das Trusted Platform Module (TPM) verwalten. Wenn die Anzahl der Autorisierungsfehler für den Benutzer innerhalb der Dauer der Standardbenutzersperrung diesem Wert entspricht, wird der Standardbenutzer daran gehindert, Befehle an das Trusted Platform Module (TPM) zu senden, die eine Autorisierung erfordern.

Diese Einstellung hilft Administratoren dabei, zu verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, da sie die Geschwindigkeit verlangsamt, mit der Standardbenutzer Befehle senden können, die eine Autorisierung erfordern.

Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die Dauer sind, werden ignoriert.

Für jeden Standardbenutzer gelten zwei Schwellenwerte. Das Überschreiten eines schwellenwerts verhindert, dass der Standardbenutzer einen Befehl an das TPM sendet, der eine Autorisierung erfordert.

Dieser Wert ist die maximale Anzahl von Autorisierungsfehlern, die bei jedem Standardbenutzer auftreten können, bevor der Benutzer keine Befehle senden darf, die eine Autorisierung an das TPM erfordern.

Der Schwellenwert für die Standardbenutzersperre ist die maximale Gesamtzahl von Autorisierungsfehlern, die bei allen Standardbenutzern auftreten können, bevor alle Standardbenutzer befehle, die eine Autorisierung erfordern, nicht an das TPM senden dürfen.

Das TPM ist so konzipiert, dass es sich vor Angriffen mit Kennworterraten schützt, indem es in einen Hardwaresperrmodus wechselt, wenn es zu viele Befehle mit einem falschen Autorisierungswert empfängt. Wenn das TPM in einen Sperrmodus wechselt, ist es global für alle Benutzer einschließlich Administratoren und Windows-Features wie BitLocker-Laufwerkverschlüsselung. Die Anzahl der Autorisierungsfehler, die ein TPM zulässt und wie lange es gesperrt bleibt, hängt vom TPM-Hersteller ab. Einige TPMs können den Sperrmodus für nacheinander längere Zeiträume mit weniger Autorisierungsfehlern je nach früheren Fehlern wechseln. Einige TPMs erfordern möglicherweise einen Systemneustart, um den Sperrmodus zu beenden. Andere TPMs erfordern möglicherweise, dass das System eingeschaltet ist, sodass genügend Taktzyklen verstreichen, bevor das TPM den Sperrmodus verlässt.

Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrungslogik des TPM mithilfe der TPM-Verwaltungskonsole (tpm.msc) vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Standardbenutzer können das TPM sofort wieder normal verwenden.

Wenn dieser Wert nicht konfiguriert ist, wird der Standardwert 4 verwendet.

Der Wert 0 (null) bedeutet, dass das Betriebssystem nicht zulässt, dass Standardbenutzer Befehle an das TPM senden können, was zu einem Autorisierungsfehler führen kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name StandardUserAuthorizationFailureIndividualThreshold_Name
Anzeigename Standard-Benutzer-Einzelsperrungsschwellenwert
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\Tpm
Name des Registrierungswertes StandardUserAuthorizationFailureIndividualThreshold
ADMX-Dateiname TPM.admx

StandardUserAuthorizationFailureTotalThreshold_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name

Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für alle Standardbenutzer für das Trusted Platform Module (TPM) verwalten. Wenn die Gesamtzahl der Autorisierungsfehler für alle Standardbenutzer innerhalb der Dauer für die Standardbenutzersperrung diesem Wert entspricht, werden alle Standardbenutzer daran gehindert, Befehle an das Trusted Platform Module (TPM) zu senden, die eine Autorisierung erfordern.

Diese Einstellung hilft Administratoren dabei, zu verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, da sie die Geschwindigkeit verlangsamt, mit der Standardbenutzer Befehle senden können, die eine Autorisierung erfordern.

Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die Dauer sind, werden ignoriert.

Für jeden Standardbenutzer gelten zwei Schwellenwerte. Das Überschreiten eines schwellenwerts verhindert, dass der Standardbenutzer einen Befehl an das TPM sendet, der eine Autorisierung erfordert.

Der Wert einzelner Standardbenutzersperrung ist die maximale Anzahl von Autorisierungsfehlern, die bei jedem Standardbenutzer auftreten können, bevor der Benutzer keine Befehle senden darf, die eine Autorisierung erfordern, an das TPM.

Dieser Wert ist die maximale Gesamtanzahl von Autorisierungsfehlern, die bei allen Standardbenutzern auftreten können, bevor alle Standardbenutzer befehle, die eine Autorisierung erfordern, nicht an das TPM senden dürfen.

Das TPM ist so konzipiert, dass es sich vor Angriffen mit Kennworterraten schützt, indem es in einen Hardwaresperrmodus wechselt, wenn es zu viele Befehle mit einem falschen Autorisierungswert empfängt. Wenn das TPM in einen Sperrmodus wechselt, ist es global für alle Benutzer einschließlich Administratoren und Windows-Features wie BitLocker-Laufwerkverschlüsselung. Die Anzahl der Autorisierungsfehler, die ein TPM zulässt und wie lange es gesperrt bleibt, hängt vom TPM-Hersteller ab. Einige TPMs können den Sperrmodus für nacheinander längere Zeiträume mit weniger Autorisierungsfehlern je nach früheren Fehlern wechseln. Einige TPMs erfordern möglicherweise einen Systemneustart, um den Sperrmodus zu beenden. Andere TPMs erfordern möglicherweise, dass das System eingeschaltet ist, sodass genügend Taktzyklen verstreichen, bevor das TPM den Sperrmodus verlässt.

Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrungslogik des TPM mithilfe der TPM-Verwaltungskonsole (tpm.msc) vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Standardbenutzer können das TPM sofort wieder normal verwenden.

Wenn dieser Wert nicht konfiguriert ist, wird der Standardwert 9 verwendet.

Der Wert 0 (null) bedeutet, dass das Betriebssystem nicht zulässt, dass Standardbenutzer Befehle an das TPM senden können, was zu einem Autorisierungsfehler führen kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name StandardUserAuthorizationFailureTotalThreshold_Name
Anzeigename Schwellenwert für die Gesamtsperrung durch Standardbenutzer
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\Tpm
Name des Registrierungswertes StandardUserAuthorizationFailureTotalThreshold
ADMX-Dateiname TPM.admx

UseLegacyDAP_Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name

Diese Richtlinieneinstellung konfiguriert das TPM so, dass die Parameter zur Verhinderung von Wörterbuchangriffen (Sperrschwellenwert und Wiederherstellungszeit) für die Werte verwendet werden, die für Windows 10 Version 1607 und niedriger verwendet wurden. Das Festlegen dieser Richtlinie wird nur wirksam, wenn a) das TPM ursprünglich mit einer Windows-Version nach Windows 10 Version 1607 vorbereitet wurde und b) das System über ein TPM 2.0 verfügt. Beachten Sie, dass das Aktivieren dieser Richtlinie erst wirksam wird, nachdem der TPM-Wartungstask ausgeführt wurde (was in der Regel nach einem Systemneustart geschieht). Sobald diese Richtlinie auf einem System aktiviert wurde und wirksam wurde (nach einem Systemneustart), hat die Deaktivierung keine Auswirkungen, und das TPM des Systems bleibt mit den Legacyparametern zur Schutz vor Wörterbuchangriffen konfiguriert, unabhängig vom Wert dieser Gruppenrichtlinie. Die einzige Möglichkeit, dass die deaktivierte Einstellung dieser Richtlinie auf einem System wirksam wird, in dem sie einmal aktiviert wurde, besteht darin, sie a) aus der Gruppenrichtlinie zu deaktivieren und b) das TPM auf dem System zu löschen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name UseLegacyDAP_Name
Anzeigename Konfigurieren Sie das System für die Verwendung der Legacyeinstellung Dictionary Attack Prevention Parameters für TPM 2.0.
Position Computerkonfiguration
Pfad System > Trusted Platform Module Services
Registrierungsschlüsselname Software\Policies\Microsoft\TPM
Name des Registrierungswertes UseLegacyDictionaryAttackParameters
ADMX-Dateiname TPM.admx

Dienstanbieter für die Richtlinienkonfiguration