Freigeben über

Befehlsblockierung

  • Artikel

Um die Integrität von Vorgängen zu gewährleisten, dürfen bestimmte TPM-Befehle nicht von Software auf der Plattform ausgeführt werden. Beispielsweise werden einige Befehle nur von Systemsoftware ausgeführt. Wenn der TBS einen Befehl blockiert, wird ein Fehler entsprechend zurückgegeben. Standardmäßig blockiert der TBS Befehle, die sich auf den Datenschutz, die Sicherheit und die Stabilität des Systems auswirken können. Die TBS geht auch davon aus, dass andere Teile des Softwarestapels den Zugriff auf bestimmte Befehle auf autorisierte Entitäten einschränken können.

Für TPM-Befehle der Version 1.2 gibt es drei Listen blockierter Befehle: eine liste, die von einer Gruppenrichtlinie gesteuert wird, eine liste, die von lokalen Administratoren gesteuert wird, und eine Standardliste. Ein TPM-Befehl wird blockiert, wenn er sich in einer der Listen befindet. Es gibt jedoch Gruppenrichtlinienflags, damit die TBS die lokale Liste und die Standardliste ignorieren kann. Die Gruppenrichtlinienflags können direkt bearbeitet oder über den Gruppenrichtlinie-Objekt-Editor aufgerufen werden.

Hinweis

Die Liste der lokal blockierten Befehle wird nach einem Upgrade auf das Betriebssystem nicht beibehalten. Befehle, die in der liste Gruppenrichtlinie blockiert sind, werden beibehalten.

 

Bei TPM-Befehlen der Version 2.0 ist die Logik zum Blockieren invertiert. Es verwendet eine Liste zulässiger Befehle. Diese Logik blockiert automatisch Befehle, die beim ersten Erstellen der Liste noch nicht bekannt waren. Wenn Befehle zur TPM-Spezifikation hinzugefügt werden, nachdem eine Version von Windows ausgeliefert wurde, werden diese neuen Befehle automatisch blockiert. Nur ein Update der Registrierung fügt diese neuen Befehle der Liste der zulässigen Befehle hinzu.

Ab Windows 10 1809 (Windows Server 2019) können zulässige TPM 2.0-Befehle nicht mehr über Registrierungseinstellungen bearbeitet werden. Für diese Windows 10 Versionen sind die zulässigen TPM 2.0-Befehle im TPM-Treiber behoben. TPM 1.2-Befehle können weiterhin blockiert und durch Registrierungsänderungen aufgehoben werden.

Direkter Registrierungszugriff

Die Gruppenrichtlinie Flags befinden sich unter Registrierungsschlüssel HKEY_LOCAL_MACHINE\Softwarerichtlinien\\Microsoft\Tpm\BlockedCommands.

Um zu bestimmen, welche Listen zum Blockieren von TPM-Befehlen verwendet werden sollen, gibt es zwei DWORD-Werte , die als boolesche Flags verwendet werden:

  • "IgnoreDefaultList"

    Wenn festgelegt ist (Wert ist vorhanden und ist nonzero), ignoriert die TBS die Standardliste blockierter Befehle.

  • "IgnoreLocalList"

    Wenn festgelegt (Der Wert ist vorhanden und ist nichtzero), ignoriert die TBS die liste der lokalen blockierten Befehle.

Gruppenrichtlinienobjekt-Editor

So greifen Sie auf den Gruppenrichtlinie-Objekt-Editor zu

  1. Klicken Sie auf Start.
  2. Klicken Sie auf Ausführen.
  3. Geben Sie gpedit.msc im Feld Öffnenein. Klicken Sie auf OK. Der Gruppenrichtlinie-Objekt-Editor wird geöffnet.
  4. Erweitern Sie Computerkonfiguration.
  5. Erweitern Sie Administrative Vorlagen.
  6. Erweitern Sie System.
  7. Erweitern Sie Trusted Platform Module Services.

Die Listen bestimmter blockierter TPM1.2-Befehle können direkt an den folgenden Speicherorten bearbeitet werden.

  • Gruppenrichtlinienliste:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lokale Liste:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Standardliste:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Unter jedem dieser Registrierungsschlüssel befindet sich eine Liste der Registrierungswerte REG_SZ Typs. Jeder Wert stellt einen blockierten TPM-Befehl dar. Jeder Registrierungsschlüssel verfügt über ein Feld "Wertname" und ein Feld "Wertdaten". Beide Felder ("Wertname" und "Wertdaten") sollten genau mit dem Dezimalwert der zu blockierenden TPM-Befehlsordnung übereinstimmen.

Die Liste der bestimmten zulässigen TPM 2.0-Befehle kann direkt am folgenden Speicherort bearbeitet werden. Unter dem Registrierungsschlüssel befindet sich eine Liste der Registrierungswerte REG_DWORD Typs. Jeder Wert stellt einen zulässigen TPM 2.0-Befehl dar. Jeder Registrierungswert hat einen Namen und ein Wertfeld . Der Name entspricht der hexadezimalen TPM 2.0-Befehls ordnungszahl, die zulässig sein sollte. Der Wert hat den Wert 1, wenn der Befehl zulässig ist. Wenn ein Befehls ordinal nicht vorhanden ist oder den Wert 0 aufweist, wird der Befehl blockiert.

  • Standardliste:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Für Windows 8, Windows Server 2012 und höher, bestimmen die Registrierungsschlüssel BlockedCommands bzw. AllowedW8Commands die blockierten oder zulässigen TPM-Befehle für Administratorkonten. Benutzerkonten verfügen über eine Liste blockierter oder zulässiger TPM-Befehle in den Registrierungsschlüsseln BlockedUserCommands bzw . AllowedW8UserCommands . In Windows 10 Version 1607 wurden neue Registrierungsschlüssel für AppContainer-Anwendungen eingeführt: BlockedAppContainerCommands und AllowedW8AppContainerCommands.