CSP de directiva: ADMX_TPM
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>
. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
BlockedCommandsList_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
Esta configuración de directiva le permite administrar la lista de directivas de grupo de comandos del Módulo de plataforma segura (TPM) bloqueados por Windows.
Si habilita esta configuración de directiva, Windows impedirá que los comandos especificados se envíen al TPM del equipo. Un número de comando hace referencia a los comandos de TPM. Por ejemplo, el número de comando 129 es TPM_OwnerReadInternalPub y el número de comando 170 es TPM_FieldUpgrade. Para buscar el número de comando asociado a cada comando de TPM con TPM 1.2, ejecute "tpm.msc" y vaya a la sección "Administración de comandos".
Si deshabilita o no establece esta configuración de directiva, Windows solo puede bloquear los comandos de TPM especificados a través de las listas locales o predeterminadas. Windows configura previamente la lista predeterminada de comandos de TPM bloqueados. Para ver la lista predeterminada, ejecute "tpm.msc", vaya a la sección "Administración de comandos" y haga visible la columna "On Default Block List". La lista local de comandos tpm bloqueados se configura fuera de la directiva de grupo mediante la ejecución de "tpm.msc" o mediante scripting en la interfaz de Win32_Tpm. Consulte la configuración de directiva relacionada para aplicar o omitir las listas predeterminadas y locales de comandos tpm bloqueados.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | BlockedCommandsList_Name |
Nombre descriptivo | Configuración de la lista de comandos de TPM bloqueados |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
Nombre del valor de registro | Habilitado |
Nombre de archivo ADMX | TPM.admx |
ClearTPMIfNotReady_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
Esta configuración de directiva configura el sistema para pedir al usuario que borre el TPM si se detecta que el TPM está en cualquier estado distinto de Listo. Esta directiva solo surtirá efecto si el TPM del sistema está en un estado distinto de Listo, incluido si el TPM está "Listo, con funcionalidad reducida". El mensaje para borrar el TPM comenzará a producirse después del siguiente reinicio, tras el inicio de sesión del usuario solo si el usuario que ha iniciado sesión forma parte del grupo Administradores del sistema. El aviso se puede descartar, pero volverá a aparecer después de cada reinicio e inicio de sesión hasta que la directiva esté deshabilitada o hasta que el TPM esté en estado Listo.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | ClearTPMIfNotReady_Name |
Nombre descriptivo | Configure el sistema para borrar el TPM si no está en un estado listo. |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\TPM |
Nombre del valor de registro | ClearTPMIfNotReadyGP |
Nombre de archivo ADMX | TPM.admx |
IgnoreDefaultList_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
Esta configuración de directiva le permite aplicar o omitir la lista predeterminada del equipo de comandos bloqueados del Módulo de plataforma segura (TPM).
- Si habilita esta configuración de directiva, Windows omitirá la lista predeterminada del equipo de comandos TPM bloqueados y solo bloqueará los comandos de TPM especificados por la directiva de grupo o la lista local.
Windows configura previamente la lista predeterminada de comandos de TPM bloqueados. Para ver la lista predeterminada, ejecute "tpm.msc", vaya a la sección "Administración de comandos" y haga visible la columna "On Default Block List". La lista local de comandos tpm bloqueados se configura fuera de la directiva de grupo mediante la ejecución de "tpm.msc" o mediante scripting en la interfaz de Win32_Tpm. Consulte la configuración de directiva relacionada para configurar la lista de directivas de grupo de comandos tpm bloqueados.
- Si deshabilita o no configura esta configuración de directiva, Windows bloqueará los comandos de TPM en la lista predeterminada, además de los comandos de la directiva de grupo y las listas locales de comandos tpm bloqueados.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | IgnoreDefaultList_Name |
Nombre descriptivo | Omitir la lista predeterminada de comandos de TPM bloqueados |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\TPM\BlockedCommands |
Nombre del valor de registro | IgnoreDefaultList |
Nombre de archivo ADMX | TPM.admx |
IgnoreLocalList_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
Esta configuración de directiva permite aplicar o omitir la lista local del equipo de comandos bloqueados del módulo de plataforma segura (TPM).
- Si habilita esta configuración de directiva, Windows omitirá la lista local del equipo de comandos tpm bloqueados y solo bloqueará los comandos de TPM especificados por la directiva de grupo o la lista predeterminada.
La lista local de comandos tpm bloqueados se configura fuera de la directiva de grupo mediante la ejecución de "tpm.msc" o mediante scripting en la interfaz de Win32_Tpm. Windows configura previamente la lista predeterminada de comandos de TPM bloqueados. Consulte la configuración de directiva relacionada para configurar la lista de directivas de grupo de comandos tpm bloqueados.
- Si deshabilita o no configura esta configuración de directiva, Windows bloqueará los comandos de TPM que se encuentran en la lista local, además de los comandos de la directiva de grupo y las listas predeterminadas de comandos tpm bloqueados.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | IgnoreLocalList_Name |
Nombre descriptivo | Omitir la lista local de comandos de TPM bloqueados |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\TPM\BlockedCommands |
Nombre del valor de registro | IgnoreLocalList |
Nombre de archivo ADMX | TPM.admx |
OptIntoDSHA_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
Esta directiva de grupo habilita los informes de atestación de estado del dispositivo (DHA-report) en los dispositivos compatibles. Permite a los dispositivos compatibles enviar información relacionada con la atestación de estado del dispositivo (registros de arranque del dispositivo, valores de PCR, certificado TPM, etcetera).) al Servicio de atestación de estado del dispositivo (DHA-Service) cada vez que se inicia un dispositivo. Device Health Attestation Service valida el estado de seguridad y el estado de los dispositivos, y hace que los resultados sean accesibles para los administradores empresariales a través de un portal de informes basado en la nube. Esta directiva es independiente de los informes dha iniciados por soluciones de administración de dispositivos (como MDM o SCCM) y no interferirán con sus flujos de trabajo.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | OptIntoDSHA_Name |
Nombre descriptivo | Habilitación de informes y supervisión de atestación de estado del dispositivo |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicio de atestación de estado del dispositivo del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\DeviceHealthAttestationService |
Nombre del valor de registro | EnableDeviceHealthAttestationService |
Nombre de archivo ADMX | TPM.admx |
OSManagedAuth_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
Esta configuración de directiva configura la cantidad de información de autorización del propietario de TPM almacenada en el registro del equipo local. En función de la cantidad de información de autorización del propietario de TPM almacenada localmente, el sistema operativo y las aplicaciones basadas en TPM pueden realizar determinadas acciones de TPM que requieren autorización del propietario de TPM sin necesidad de que el usuario escriba la contraseña del propietario de TPM.
Puede elegir que el sistema operativo almacene el valor de autorización de propietario de TPM completo, el blob de delegación administrativa de TPM más el blob de delegación de usuarios de TPM o ninguno.
Si habilita esta configuración de directiva, Windows almacenará la autorización del propietario del TPM en el registro del equipo local según la configuración de autenticación de TPM administrada por el sistema operativo que elija.
Elija la configuración de autenticación de TPM administrada por el sistema operativo de "Full" para almacenar la autorización completa del propietario de TPM, el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Esta configuración permite el uso del TPM sin necesidad de almacenamiento remoto o externo del valor de autorización del propietario del TPM. Esta configuración es adecuada para escenarios que no dependen de la prevención del restablecimiento de la lógica contra el martillo de TPM o del cambio del valor de autorización del propietario de TPM. Es posible que algunas aplicaciones basadas en TPM requieran que esta configuración se cambie antes de que se puedan usar características que dependen de la lógica contra el martillo de TPM.
Elija la configuración de autenticación de TPM administrada por el sistema operativo de "Delegado" para almacenar solo el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Esta configuración es adecuada para su uso con aplicaciones basadas en TPM que dependen de la lógica contra el martillo de TPM.
Elija la configuración de autenticación de TPM administrada por el sistema operativo de "Ninguno" para la compatibilidad con sistemas operativos y aplicaciones anteriores o para su uso con escenarios que requieren que la autorización del propietario de TPM no se almacene localmente. El uso de esta configuración puede causar problemas con algunas aplicaciones basadas en TPM.
Nota
Si la configuración de autenticación de TPM administrada por el sistema operativo cambia de "Completo" a "Delegado", se volverá a generar el valor de autorización de propietario de TPM completo y cualquier copia del valor de autorización de propietario de TPM original no será válido.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | OSManagedAuth_Name |
Nombre descriptivo | Configuración del nivel de información de autorización del propietario de TPM disponible para el sistema operativo |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\TPM |
Nombre de archivo ADMX | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
Esta configuración de directiva le permite administrar la duración en minutos para contar errores de autorización de usuario estándar para los comandos del Módulo de plataforma segura (TPM) que requieren autorización. Si el número de comandos de TPM con un error de autorización dentro de la duración es igual a un umbral, se impide que un usuario estándar envíe comandos que requieran autorización al TPM.
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo porque ralentiza la velocidad que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a esta duración.
Para cada usuario estándar se aplican dos umbrales. Superar cualquiera de los umbrales impedirá que el usuario estándar envíe un comando al TPM que requiere autorización.
El valor de Umbral de bloqueo de usuario estándar Individual es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM.
El valor de Umbral total de bloqueo de usuario estándar es el número total máximo de errores de autorización que pueden tener todos los usuarios estándar antes de que no se permita que todos los usuarios estándar envíen comandos que requieran autorización al TPM.
El TPM está diseñado para protegerse contra ataques de adivinación de contraseñas al entrar en un modo de bloqueo de hardware cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en un modo de bloqueo, es global para todos los usuarios, incluidos los administradores y las características de Windows, como el cifrado de unidad BitLocker. El número de errores de autorización que permite un TPM y el tiempo que permanece bloqueado varían según el fabricante del TPM. Algunos TPMs pueden entrar en modo de bloqueo durante períodos de tiempo sucesivamente más largos con menos errores de autorización en función de errores anteriores. Algunos TPMs pueden requerir un reinicio del sistema para salir del modo de bloqueo. Otros TPMs pueden requerir que el sistema esté activado para que transcurran suficientes ciclos de reloj antes de que el TPM salga del modo de bloqueo.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante la Consola de administración de TPM (tpm.msc). Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores; permitir que los usuarios estándar usen el TPM normalmente de nuevo inmediatamente.
Si este valor no está configurado, se usa un valor predeterminado de 480 minutos (8 horas).
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | StandardUserAuthorizationFailureDuration_Name |
Nombre descriptivo | Duración estándar del bloqueo de usuario |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\Tpm |
Nombre del valor de registro | StandardUserAuthorizationFailureDuration |
Nombre de archivo ADMX | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
Esta configuración de directiva le permite administrar el número máximo de errores de autorización para cada usuario estándar para el módulo de plataforma segura (TPM). Si el número de errores de autorización para el usuario durante la duración del bloqueo de usuario estándar es igual a este valor, se impide que el usuario estándar envíe comandos al módulo de plataforma segura (TPM) que requieren autorización.
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo porque ralentiza la velocidad que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración.
Para cada usuario estándar se aplican dos umbrales. Superar cualquiera de los umbrales impedirá que el usuario estándar envíe un comando al TPM que requiere autorización.
Este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM.
El valor de Umbral total de bloqueo de usuario estándar es el número total máximo de errores de autorización que pueden tener todos los usuarios estándar antes de que no se permita que todos los usuarios estándar envíen comandos que requieran autorización al TPM.
El TPM está diseñado para protegerse contra ataques de adivinación de contraseñas al entrar en un modo de bloqueo de hardware cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en un modo de bloqueo, es global para todos los usuarios, incluidos los administradores y las características de Windows, como el cifrado de unidad BitLocker. El número de errores de autorización que permite un TPM y el tiempo que permanece bloqueado varían según el fabricante del TPM. Algunos TPMs pueden entrar en modo de bloqueo durante períodos de tiempo sucesivamente más largos con menos errores de autorización en función de errores anteriores. Algunos TPMs pueden requerir un reinicio del sistema para salir del modo de bloqueo. Otros TPMs pueden requerir que el sistema esté activado para que transcurran suficientes ciclos de reloj antes de que el TPM salga del modo de bloqueo.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante la Consola de administración de TPM (tpm.msc). Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores; permitir que los usuarios estándar usen el TPM normalmente de nuevo inmediatamente.
Si este valor no está configurado, se usa un valor predeterminado de 4.
Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que puede provocar un error de autorización.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | StandardUserAuthorizationFailureIndividualThreshold_Name |
Nombre descriptivo | Umbral de bloqueo individual de usuario estándar |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\Tpm |
Nombre del valor de registro | StandardUserAuthorizationFailureIndividualThreshold |
Nombre de archivo ADMX | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
Esta configuración de directiva le permite administrar el número máximo de errores de autorización para todos los usuarios estándar para el módulo de plataforma segura (TPM). Si el número total de errores de autorización para todos los usuarios estándar dentro de la duración de duración de bloqueo de usuario estándar es igual a este valor, se impide que todos los usuarios estándar envíen comandos al módulo de plataforma segura (TPM) que requieren autorización.
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo porque ralentiza la velocidad que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración.
Para cada usuario estándar se aplican dos umbrales. Superar cualquiera de los umbrales impedirá que el usuario estándar envíe un comando al TPM que requiere autorización.
El valor de Bloqueo individual de usuario estándar es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM.
Este valor es el número total máximo de errores de autorización que pueden tener todos los usuarios estándar antes de que todos los usuarios estándar no puedan enviar comandos que requieran autorización al TPM.
El TPM está diseñado para protegerse contra ataques de adivinación de contraseñas al entrar en un modo de bloqueo de hardware cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en un modo de bloqueo, es global para todos los usuarios, incluidos los administradores y las características de Windows, como el cifrado de unidad BitLocker. El número de errores de autorización que permite un TPM y el tiempo que permanece bloqueado varían según el fabricante del TPM. Algunos TPMs pueden entrar en modo de bloqueo durante períodos de tiempo sucesivamente más largos con menos errores de autorización en función de errores anteriores. Algunos TPMs pueden requerir un reinicio del sistema para salir del modo de bloqueo. Otros TPMs pueden requerir que el sistema esté activado para que transcurran suficientes ciclos de reloj antes de que el TPM salga del modo de bloqueo.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante la Consola de administración de TPM (tpm.msc). Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores; permitir que los usuarios estándar usen el TPM normalmente de nuevo inmediatamente.
Si este valor no está configurado, se usa un valor predeterminado de 9.
Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que puede provocar un error de autorización.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | StandardUserAuthorizationFailureTotalThreshold_Name |
Nombre descriptivo | Umbral de bloqueo total de usuario estándar |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\Tpm |
Nombre del valor de registro | StandardUserAuthorizationFailureTotalThreshold |
Nombre de archivo ADMX | TPM.admx |
UseLegacyDAP_Name
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
Esta configuración de directiva configura el TPM para usar los parámetros de prevención de ataques de diccionario (umbral de bloqueo y tiempo de recuperación) en los valores que se usaron para Windows 10 versión 1607 y versiones posteriores. Establecer esta directiva solo surtirá efecto si a) el TPM se preparó originalmente con una versión de Windows después de Windows 10 versión 1607 y b) el sistema tiene un TPM 2.0. Tenga en cuenta que la habilitación de esta directiva solo surtirá efecto después de que se ejecute la tarea de mantenimiento de TPM (lo que suele ocurrir después de reiniciar el sistema). Una vez que esta directiva se ha habilitado en un sistema y ha surtido efecto (después de reiniciar el sistema), deshabilitarla no tendrá ningún impacto y el TPM del sistema permanecerá configurado mediante los parámetros heredados Dictionary Attack Prevention, independientemente del valor de esta directiva de grupo. La única manera de que la configuración deshabilitada de esta directiva surta efecto en un sistema donde se ha habilitado una vez es a) deshabilitarla de la directiva de grupo y b)borrar el TPM en el sistema.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | UseLegacyDAP_Name |
Nombre descriptivo | Configure el sistema para que use la configuración de parámetros heredados de prevención de ataques de diccionario para TPM 2.0. |
Ubicación | Configuración del equipo |
Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
Nombre de la clave del Registro | Software\Policies\Microsoft\TPM |
Nombre del valor de registro | UseLegacyDictionaryAttackParameters |
Nombre de archivo ADMX | TPM.admx |