TPM-Gruppenrichtlinieneinstellungen
In diesem Thema für IT-Experten werden die Trusted Platform Module (TPM)-Dienste beschrieben, die zentral mithilfe von Gruppenrichtlinieneinstellungen gesteuert werden können.
Die Gruppenrichtlinieneinstellungen für TPM-Dienste befinden sich unter:
Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform Module-Dienste\
| Einstellung | Windows 10 | Windows Server 2012 R2, Windows 8.1 und Windows RT | Windows Server 2012, Windows 8 und Windows RT | Windows Server 2008 R2 und Windows 7 | Windows Server 2008 und Windows Vista |
|---|---|---|---|---|---|
TPM-Sicherung in den Active Directory-Domänendiensten aktivieren |
X |
X |
X |
X |
X |
Liste der blockierten TPM-Befehle konfigurieren |
X |
X |
X |
X |
X |
Standardliste der blockierten TPM-Befehle ignorieren |
X |
X |
X |
X |
X |
Lokale Liste der blockierten TPM-Befehle ignorieren |
X |
X |
X |
X |
X |
Ebene der TPM-Besitzerautorisierungsinformationen für das Betriebssystem konfigurieren |
X |
X |
X |
||
Standardbenutzer-Sperrdauer |
X |
X |
X |
||
Standardbenutzer-Sperrschwelle (einzeln) |
X |
X |
X |
||
Standardbenutzer-Sperrschwelle (gesamt) |
X |
X |
X |
TPM-Sicherung in den Active Directory-Domänendiensten aktivieren
Diese Richtlinieneinstellung ermöglicht Ihnen, die AD DS (Active Directory-Domänendienste)-Sicherung von TPM-Besitzerinformationen zu verwalten.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
TPM-Besitzerinformationen enthalten einen kryptografischen Hash des TPM-Besitzerkennworts. Bestimmte TPM-Befehle können nur vom TPM-Besitzer ausgeführt werden. Dieser Hash autorisiert das TPM zur Ausführung dieser Befehle.
Wichtig
Wenn Sie TPM-Besitzerinformationen von einem Computer unter Windows 10, Windows 8.1 oder Windows 8 sichern möchten, müssen Sie möglicherweise zuerst entsprechende Schemaerweiterungen und Zugriffsteuerungseinstellungen für die Domäne einrichten, damit die AD DS-Sicherung erfolgreich ausgeführt werden kann. Die erforderlichen Schemaerweiterungen sind standardmäßig in Windows Server 2012 R2 und Windows Server 2012 enthalten. Weitere Informationen finden Sie unter AD DS-Schemaerweiterungen zur Unterstützung der TPM-Sicherung.
Das TPM kann nicht verwendet werden, um erweiterte Sicherheitsfeatures für die BitLocker-Laufwerkverschlüsselung und andere Anwendungen bereitzustellen, bevor nicht zuerst ein Besitzer festgelegt wurde. Wenn Sie das TPM mit einem Besitzerkennwort in Besitz nehmen möchten, geben Sie auf einem lokalen Computer an der Eingabeaufforderung tpm.msc ein, um die TPM-Verwaltungskonsole zu öffnen, und wählen Sie die Aktion TPM initialisieren aus. Sind die TPM-Besitzerinformationen verloren gegangen oder aus einem anderen Grund nicht verfügbar, ist durch Ausführen von tpm.msc eine eingeschränkte TPM-Verwaltung möglich.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die TPM-Besitzerinformationen automatisch und im Hintergrund in AD DS gesichert, sobald Sie Windows zum Festlegen oder Ändern eines TPM-Besitzerkennworts verwenden. Wenn diese Richtlinieneinstellung aktiviert ist, kann ein TPM-Besitzerkennwort erst festgelegt oder geändert werden, wenn der Computer mit der Domäne verbunden ist und die AD DS-Sicherung erfolgreich abgeschlossen wurde.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden diese TPM-Besitzerinformationen nicht in AD DS gesichert.
Liste der blockierten TPM-Befehle konfigurieren
Diese Richtlinieneinstellung ermöglicht Ihnen die Verwaltung der Gruppenrichtlinienliste von TPM (Trusted Platform Module)-Befehlen, die von Windows blockiert sind.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Wenn Sie diese Richtlinieneinstellung aktivieren, blockiert Windows das Senden der angegebenen Befehle an das TPM auf dem Computer. Für den Verweis auf TPM-Befehle wird eine Befehlsnummer verwendet. Die Befehlsnummer 129 entspricht beispielsweise TPM_OwnerReadInternalPub, und die Befehlsnummer170 entspricht TPM_FieldUpgrade. Um die mit den einzelnen TPM-Befehlen verknüpfte Befehlsnummer zu finden, geben Sie an der Eingabeaufforderung tpm.msc ein, um die TPM-Verwaltungskonsole zu öffnen, und navigieren Sie zum Abschnitt Befehlsverwaltung.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können nur die TPM-Befehle, die über die Standard- oder lokale Liste angegeben werden, von Windows blockiert werden. Die Standardliste blockierter TPM-Befehle wird von Windows vorkonfiguriert.
Sie können die Standardliste anzeigen, indem Sie tpm.msc an der Eingabeaufforderung eingeben, zum Abschnitt Befehlsverwaltung navigieren und die Spalte Auf der Standardliste mit Blockierungen verfügbar machen.
Die lokale Liste blockierter TPM-Befehle wird außerhalb der Gruppenrichtlinie konfiguriert. Sie führen dazu die TPM-Verwaltungskonsole oder Skripts über die Win32_Tpm-Schnittstelle aus.
Informationen zum Erzwingen oder Ignorieren der Standard- oder lokalen Liste blockierter TPM-Befehle finden Sie unter
Standardliste der blockierten TPM-Befehle ignorieren
Lokale Liste der blockierten TPM-Befehle ignorieren
Standardliste der blockierten TPM-Befehle ignorieren
Durch diese Richtlinieneinstellung können Sie die computereigene Standardliste blockierter TPM (Trusted Platform Module)-Befehle erzwingen oder ignorieren.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Die Standardliste blockierter TPM-Befehle wird von Windows vorkonfiguriert. Sie können die Standardliste anzeigen, indem Sie tpm.msc an der Befehlszeile eingeben, um die TPM-Verwaltungskonsole zu öffnen, zum Abschnitt Befehlsverwaltung navigieren und die Spalte Auf der Standardliste mit Blockierungen verfügbar machen. Die zugehörige Richtlinieneinstellung finden Sie unter Liste der blockierten TPM-Befehle konfigurieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, ignoriert das Windows-Betriebssystem die Standardliste blockierter TPM-Befehle des Computers und blockiert nur die TPM-Befehle, die durch die Gruppenrichtlinie oder lokale Liste angegeben werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, blockiert Windows die TPM-Befehle in der Standardliste zusätzlich zu den Befehlen, die durch die Gruppenrichtlinie und die lokale Liste blockierter TPM-Befehle angegeben werden.
Lokale Liste der blockierten TPM-Befehle ignorieren
Durch diese Richtlinieneinstellung können Sie die computereigene lokale Liste blockierter TPM (Trusted Platform Module)-Befehle erzwingen oder ignorieren.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Die lokale Liste blockierter TPM-Befehle wird außerhalb der Gruppenrichtlinie konfiguriert. Geben Sie dazu tpm.msc an der Eingabeaufforderung ein, oder führen Sie Skripts über die Win32_Tpm-Schnittstelle aus. (Die Standardliste blockierter TPM-Befehle wird von Windows vorkonfiguriert.) Die zugehörige Richtlinieneinstellung finden Sie unter Liste der blockierten TPM-Befehle konfigurieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, ignoriert das Windows-Betriebssystem die lokale Liste blockierter TPM-Befehle des Computers und blockiert nur die TPM-Befehle, die durch die Gruppenrichtlinie oder Standardliste angegeben werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, blockiert Windows die TPM-Befehle in der lokalen Liste zusätzlich zu den Befehlen, die in der Gruppenrichtlinie und Standardliste blockierter TPM-Befehle angegeben werden.
Ebene der TPM-Besitzerautorisierungsinformationen für das Betriebssystem konfigurieren
Durch diese Richtlinieneinstellung wird konfiguriert, welche Menge von TPM-Besitzerautorisierungsinformationen in der Registrierung des lokalen Computers gespeichert wird. Abhängig von der Menge der lokal gespeicherten TPM-Besitzerautorisierungsinformationen können das Windows-Betriebssystem und TPM-basierte Anwendungen bestimmte Aktionen im TPM ausführen, die die TPM-Besitzerautorisierung erfordern. Die Eingabe des TPM-Besitzerkennworts ist in diesem Fall nicht erforderlich.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Es gibt drei TPM-Besitzerauthentifizierungseinstellungen, die vom Windows-Betriebssystem verwaltet werden. Sie können unter den Werten Vollständig, Delegiert oder Keine auswählen.
Vollständig Durch diese Einstellung wird die vollständige TPM-Besitzerautorisierung, das TPM-Verwaltungsdelegierungs-BLOB plus das TPM-Benutzerdelegierungs-BLOB in der lokalen Registrierung gespeichert. Mit dieser Einstellung können Sie das TPM verwenden, ohne dass der Wert für die TPM-Besitzerautorisierung remote oder extern gespeichert werden muss. Diese Einstellung eignet sich für Szenarien, in denen das Zurücksetzen der TPM'-Anti-Hammering-Logik oder das Ändern des TPM-Besitzerautorisierungswerts nicht notwendig ist. Für manche TPM-basierten Anwendungen ist es möglicherweise erforderlich, dass diese Richtlinieneinstellung geändert wird, bevor von der TPM-Anti-Hammering-Logik abhängige Features verwendet werden können.
Delegiert Durch diese Einstellung wird nur das TPM-Verwaltungsdelegierungs-BLOB plus TPM-Benutzerdelegierungs-BLOB in der lokalen Registrierung gespeichert. Diese Einstellung eignet sich für die Verwendung mit TPM-basierten Anwendungen, die von der TPM-Anti-Hammering-Logik abhängen. Bei Verwendung dieser Einstellung wird empfohlen, externen oder Remotespeicher für den vollständigen TPM-Benutzerautorisierungswert zu verwenden – z. B. durch Sicherung des Werts in den Active Directory-Domänendiensten (AD DS).
Keine Durch diese Einstellung wird Kompatibilität mit älteren Betriebssystemen und Anwendungen sichergestellt. Sie können die Einstellung auch für Szenarien verwenden, in denen die TPM-Benutzerautorisierung nicht lokal gespeichert werden kann. Die Verwendung dieser Einstellung kann bei einigen TPM-basierten Anwendungen zu Problemen führen.
Hinweis
Wenn die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung von Vollständig in Delegiert geändert wird, wird der vollständige TPM-Besitzerautorisierungswert erneut generiert, und alle Kopien des zuvor festgelegten TPM-Benutzerautorisierungswerts werden ungültig. Wenn Sie den TPM-Besitzerautorisierungswert in AD DS sichern, wird der neue Besitzerautorisierungswert automatisch in AD DS gesichert, sobald er sich ändert.
Registrierungsinformationen
Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
Die folgende Tabelle zeigt die TPM-Besitzerautorisierungswerte in der Registrierung.
| Wertdaten | Einstellung |
|---|---|
0 |
Keine |
2 |
Delegiert |
4 |
Vollständig |
Wenn Sie diese Richtlinieneinstellung aktivieren, speichert das Windows-Betriebssystem die TPM-Besitzerautorisierung entsprechend der ausgewählten TPM-Authentifizierungseinstellung in der Registrierung des lokalen Computers.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die Richtlinieneinstellung TPM-Sicherung in den Active Directory-Domänendiensten aktivieren ebenfalls deaktiviert oder nicht konfiguriert ist, wird standardmäßig der vollständige TPM-Autorisierungswert in der lokalen Registrierung gespeichert. Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist und die Richtlinieneinstellung TPM-Sicherung in den Active Directory-Domänendiensten aktivieren aktiviert ist, werden nur das TPM-Verwaltungsdelegierungs- und das Benutzerdelegierungs-BLOB in der lokalen Registrierung gespeichert.
Standardbenutzer-Sperrdauer
Mit dieser Richtlinieneinstellung können Sie die Dauer in Minuten für das Zählen von Standardbenutzer-Autorisierungsfehlern für TPM-Befehle verwalten, die eine Autorisierung erfordern. Ein Autorisierungsfehler tritt immer dann auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort empfängt, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die vor dem angegebenen Zeitraum liegen, werden ignoriert. Wenn die Anzahl der TPM-Befehle mit einem Autorisierungsfehler innerhalb des Sperrzeitraums einen Schwellenwert erreicht, wird verhindert, dass Standardbenutzer Befehle, die eine Autorisierung erfordern, an das TPM senden können.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Das TPM besitzt eine Schutzfunktion gegen Programme zum Ermitteln von Kennwörtern, indem es in einen Hardware-Sperrmodus versetzt wird, wenn zu viele Befehle mit einem ungültigen Autorisierungswert eingehen. Wenn das TPM in einen Sperrmodus versetzt wird, gilt dieser Modus global für alle Benutzer (einschließlich Administratoren) und Windows-Features wie die BitLocker-Laufwerkverschlüsselung.
Die Anzahl von Autorisierungsfehlern, die ein TPM zulässt, und die Zeitdauer für den Sperrmodus variieren je nach TPM-Hersteller. Einige TPMs können in Abhängigkeit von früheren Fehlern für eine längere Zeitdauer und nach weniger Autorisierungsfehlern in den Sperrmodus versetzt werden. Bei manchen TPMs muss das System neu gestartet werden, um den Sperrmodus zu beenden. Bei anderen TPMs muss das System eingeschaltet bleiben, da eine gewisse Anzahl an Taktzyklen durchlaufen werden muss, um den Sperrmodus zu beenden.
Mit dieser Richtlinieneinstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus versetzt wird. Dabei wird die Geschwindigkeit herabsetzt, mit der Standardbenutzer Befehle, für die eine Autorisierung erforderlich ist, an das TPM senden können.
Für jeden Standardbenutzer gelten zwei Schwellenwerte. Jede Überschreitung eines dieser Schwellenwerte verhindert, dass der Standardbenutzer einen Befehl, für den eine Autorisierung erforderlich ist, an den TPM senden kann. Verwenden Sie die folgenden Richtlinieneinstellungen zum Festlegen der Sperrdauer:
Standardbenutzer-Sperrschwelle (einzeln) Dieser Wert gibt die maximale Anzahl von Autorisierungsfehlern an, die für einen einzelnen Standardbenutzer zulässig sind, bevor der Benutzer keine Befehle, die eine Autorisierung erfordern, mehr an das TPM senden darf.
Standardbenutzer-Sperrschwelle (gesamt) Dieser Wert gibt die maximale Anzahl von Autorisierungsfehlern an, die für alle Standardbenutzer zulässig sind, bevor kein Standardbenutzer mehr Befehle, die eine Autorisierung erfordern, an das TPM senden darf.
Ein Administrator mit TPM-Besitzerkennwort kann die Sperrlogik der TPM-Hardware mithilfe der TPM-Verwaltungskonsole (tpm.msc) vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Sperrlogik der TPM-Hardware zurücksetzt, werden alle bisherigen TPM-Autorisierungsfehler für Standardbenutzer ignoriert. Dadurch können die Standardbenutzer das TPM sofort wieder normal verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 480 Minuten (8 Stunden) verwendet.
Standardbenutzer-Sperrschwelle (einzeln)
Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl an Autorisierungsfehlern für einzelne Standardbenutzer für das TPM (Trusted Platform Module) verwalten. Dieser Wert gibt die maximale Anzahl von Autorisierungsfehlern an, die für einen einzelnen Standardbenutzer zulässig sind, bevor der Benutzer keine Befehle, die eine Autorisierung erfordern, mehr an das TPM senden darf. Wenn die Anzahl der Autorisierungsfehler für den Benutzer innerhalb des für die Richtlinieneinstellung Standardbenutzer-Sperrdauer festgelegten Zeitraums mit diesem Wert übereinstimmt, kann der Standardbenutzer keine Befehle, die eine Autorisierung erfordern, an das TPM (Trusted Platform Module) senden.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Mit dieser Richtlinieneinstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus versetzt wird. Dabei wird die Geschwindigkeit herabsetzt, mit der Standardbenutzer Befehle, für die eine Autorisierung erforderlich ist, an das TPM senden können.
Ein Autorisierungsfehler tritt immer dann auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort empfängt, die auf einen Autorisierungsfehler hinweist. Vor diesem Zeitraum liegende Autorisierungsfehler werden ignoriert.
Ein Administrator mit TPM-Besitzerkennwort kann die Sperrlogik der TPM-Hardware mithilfe der TPM-Verwaltungskonsole (tpm.msc) vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Sperrlogik der TPM-Hardware zurücksetzt, werden alle bisherigen TPM-Autorisierungsfehler für Standardbenutzer ignoriert. Dadurch können die Standardbenutzer das TPM sofort wieder normal verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 4 verwendet. Der Wert 0 (null) bedeutet, dass das Betriebssystem keine von Standardbenutzern an das TPM gesendeten Befehle zulässt, deren Autorisierung einen Fehler verursachen könnte.
Standardbenutzer-Sperrschwelle (gesamt)
Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für alle Standardbenutzer für das TPM (Trusted Platform Module) verwalten. Wenn die Gesamtanzahl der Autorisierungsfehler für alle Standardbenutzer innerhalb des für die Richtlinie Standardbenutzer-Sperrdauer festgelegten Zeitraums mit diesem Wert übereinstimmt, kann kein Standardbenutzer Befehle, die eine Autorisierung erfordern, an das TPM (Trusted Platform Module) senden.
Hinweis
Die Richtlinieneinstellung gilt für die in der Versionstabelle aufgeführten Windows-Betriebssysteme.
Mit dieser Richtlinieneinstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus versetzt wird. Dabei wird die Geschwindigkeit herabsetzt, mit der Standardbenutzer Befehle, die eine Autorisierung erfordern, an das TPM senden können.
Ein Autorisierungsfehler tritt immer dann auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort empfängt, die auf einen Autorisierungsfehler hinweist. Vor diesem Zeitraum liegende Autorisierungsfehler werden ignoriert.
Für jeden Standardbenutzer gelten zwei Schwellenwerte. Jede Überschreitung eines dieser Schwellenwerte verhindert, dass der Standardbenutzer einen Befehl, für den eine Autorisierung erforderlich ist, an den TPM senden kann.
Der Wert „Standardbenutzer-Sperrschwelle (einzeln)“ gibt die maximale Anzahl von Autorisierungsfehlern an, die für einen einzelnen Standardbenutzer zulässig sind, bevor der Benutzer keine Befehle, die eine Autorisierung erfordern, mehr an das TPM senden darf.
Der Wert „Standardbenutzer-Sperrschwelle (gesamt)“ gibt die maximale Anzahl von Autorisierungsfehlern an, die für alle Standardbenutzer zulässig sind, bevor kein Standardbenutzer mehr Befehle, die eine Autorisierung erfordern, an das TPM senden darf.
Das TPM besitzt eine Schutzfunktion gegen Programme zum Ermitteln von Kennwörtern, indem es in einen Hardware-Sperrmodus versetzt wird, wenn zu viele Befehle mit einem ungültigen Autorisierungswert eingehen. Wenn das TPM in einen Sperrmodus versetzt wird, gilt dieser Modus global für alle Benutzer (einschließlich Administratoren) und Windows-Features wie die BitLocker-Laufwerkverschlüsselung.
Die Anzahl von Autorisierungsfehlern, die ein TPM zulässt, und die Zeitdauer für den Sperrmodus variieren je nach TPM-Hersteller. Einige TPMs können in Abhängigkeit von früheren Fehlern für eine längere Zeitdauer und nach weniger Autorisierungsfehlern in den Sperrmodus versetzt werden. Bei manchen TPMs muss das System neu gestartet werden, um den Sperrmodus zu beenden. Bei anderen TPMs muss das System eingeschaltet bleiben, da eine gewisse Anzahl an Taktzyklen durchlaufen werden muss, um den Sperrmodus zu beenden.
Ein Administrator mit TPM-Besitzerkennwort kann die Sperrlogik der TPM-Hardware mithilfe der TPM-Verwaltungskonsole (tpm.msc) vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Sperrlogik der TPM-Hardware zurücksetzt, werden alle bisherigen TPM-Autorisierungsfehler für Standardbenutzer ignoriert. Dadurch können die Standardbenutzer das TPM sofort wieder normal verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 9 verwendet. Der Wert 0 (null) bedeutet, dass das Betriebssystem keine von Standardbenutzern an das TPM gesendeten Befehle zulässt, deren Autorisierung einen Fehler verursachen könnte.
Weitere Ressourcen
Trusted Platform Module – Technologieübersicht
TPM-Cmdlets in Windows PowerShell
Vorbereiten Ihrer Organisation für BitLocker: Planung und Richtlinien – TPM-Konfigurationen