Condividi tramite


Impostazioni di Criteri di gruppo per TPM

Questo argomento descrive i servizi TPM (Trusted Platform Module) che possono essere controllati centralmente usando le impostazioni di Criteri di gruppo. Le impostazioni Criteri di gruppo per i servizi TPM si trovano in Configurazione> computerModelli> amministrativiSystem>Trusted Platform Module Services.

Configurare il livello di informazioni sull'autorizzazione del proprietario di TPM disponibili per il sistema operativo

Importante

A partire da Windows 10 versione 1703, il valore predefinito è 5. Questo valore viene implementato durante il provisioning in modo che un altro componente windows possa eliminarlo o assumerne la proprietà, a seconda della configurazione del sistema. Per TPM 2.0, un valore pari a 5 significa mantenere l'autorizzazione di blocco. Per TPM 1.2, significa eliminare l'autorizzazione del proprietario TPM completo e conservare solo l'autorizzazione delegata.

Questa impostazione di criterio ha configurato i valori di autorizzazione TPM archiviati nel Registro di sistema del computer locale. Alcuni valori di autorizzazione sono necessari per consentire a Windows di eseguire determinate azioni.

Valore TPM 1.2 Valore TPM 2.0 Scopo Mantenuto al livello 0? Mantenuto al livello 2? Al livello 4?
OwnerAuthAdmin StorageOwnerAuth Creare SRK No
OwnerAuthEndorsement EndorsementAuth Creare o usare EK (solo 1.2: Creare AIK) No
OwnerAuthFull LockoutAuth Reimpostare/modificare la protezione da attacchi del dizionario No No

Sono disponibili tre impostazioni di autenticazione del proprietario del TPM gestite dal sistema operativo Windows. È possibile scegliere un valore completo, delegato o Nessuno.

  • Completa: questa impostazione archivia l'autorizzazione completa del proprietario di TPM, il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Con questa impostazione, è possibile usare il TPM senza richiedere l'archiviazione remota o esterna del valore di autorizzazione del proprietario del TPM. Questa impostazione è appropriata per gli scenari che non richiedono la reimpostazione della logica di anti-hammering TPM o la modifica del valore di autorizzazione del proprietario del TPM. Alcune applicazioni basate su TPM potrebbero richiedere che questa impostazione venga modificata prima di poter usare le funzionalità che dipendono dalla logica di anti-hammering TPM. L'autorizzazione completa del proprietario in TPM 1.2 è simile all'autorizzazione di blocco in TPM 2.0. L'autorizzazione del proprietario ha un significato diverso per TPM 2.0.

  • Delegata: questa impostazione archivia solo il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione è appropriata per l'uso con applicazioni basate su TPM che dipendono dalla logica di antihammering TPM. Questa è l'impostazione predefinita in Windows precedente alla versione 1703.

  • Nessuno: questa impostazione garantisce la compatibilità con i sistemi operativi e le applicazioni precedenti. È anche possibile usarlo per scenari in cui l'autorizzazione del proprietario del TPM non può essere archiviata in locale. L'uso di questa impostazione potrebbe causare problemi con alcune applicazioni basate su TPM.

Nota

Se l'impostazione di autenticazione TPM gestita dal sistema operativo viene modificata da Completa a Delegata, il valore completo dell'autorizzazione del proprietario del TPM verrà rigenerato e le copie del valore di autorizzazione del proprietario TPM impostato in precedenza non saranno valide.

Informazioni del Registro di sistema

Chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

La tabella seguente mostra i valori di autorizzazione del proprietario TPM nel Registro di sistema.

Dati valore Impostazione
0 Nessuno
2 Delegato
4 Completo

Se si abilita questa impostazione di criterio, il sistema operativo Windows archivierà l'autorizzazione del proprietario del TPM nel Registro di sistema del computer locale in base all'impostazione di autenticazione TPM scelta.

In Windows 10 precedenti alla versione 1607, se si disabilita o non si configura questa impostazione di criterio e l'impostazione Attiva backup TPM in Active Directory Domain Services è disabilitata o non configurata, l'impostazione predefinita consiste nell'archiviare il valore di autorizzazione TPM completo nel Registro di sistema locale. Se questo criterio è disabilitato o non configurato e l'impostazione di criterio Attiva backup TPM in Active Directory Domain Services è abilitata, solo la delega amministrativa e i BLOB di delega utente vengono archiviati nel Registro di sistema locale.

Durata blocco utente standard

Questa impostazione di criterio consente di gestire la durata in minuti per il conteggio degli errori di autorizzazione utente standard per i comandi TPM (Trusted Platform Module) che richiedono l'autorizzazione. Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata impostata vengono ignorati. Se il numero di comandi TPM con un errore di autorizzazione entro la durata del blocco è uguale a una soglia, a un utente standard viene impedito di inviare comandi che richiedono l'autorizzazione al TPM.

Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti (inclusi gli amministratori) e per le funzionalità di Windows, ad esempio Crittografia unità BitLocker.

Questa impostazione consente agli amministratori di impedire all'hardware TPM di entrare in modalità di blocco rallentando la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Per ogni utente standard si applicano due soglie. Il superamento di una soglia impedisce all'utente di inviare un comando che richiede l'autorizzazione al TPM. Usare le impostazioni dei criteri seguenti per impostare la durata del blocco:

  • Soglia di blocco individuale utente standard: questo valore corrisponde al numero massimo di errori di autorizzazione che ogni utente standard può avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
  • Soglia di blocco totale utente standard: questo valore è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard possono avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando il Centro sicurezza Windows Defender. Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati. Ciò consente agli utenti standard di usare immediatamente il TPM normalmente.

Se non si configura questa impostazione di criterio, viene usato un valore predefinito di 480 minuti (8 ore).

Soglia di blocco individuale utente standard

Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per ogni utente standard per il modulo TPM (Trusted Platform Module). Questo valore è il numero massimo di errori di autorizzazione che ogni utente standard può avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM. Se il numero di errori di autorizzazione per l'utente entro la durata impostata per l'impostazione del criterio Durata blocco utente standard è uguale a questo valore, all'utente standard viene impedito di inviare comandi che richiedono l'autorizzazione al modulo TPM (Trusted Platform Module).

Questa impostazione consente agli amministratori di impedire all'hardware TPM di entrare in modalità di blocco rallentando la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando il Centro sicurezza Windows Defender. Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati. Ciò consente agli utenti standard di usare immediatamente il TPM normalmente.

Se non si configura questa impostazione di criterio, viene usato il valore predefinito 4. Il valore zero indica che il sistema operativo non consentirà agli utenti standard di inviare comandi al TPM, il che potrebbe causare un errore di autorizzazione.

Soglia di blocco totale utente standard

Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per tutti gli utenti standard per il modulo TPM (Trusted Platform Module). Se il numero totale di errori di autorizzazione per tutti gli utenti standard entro la durata impostata per il criterio Durata blocco utente standard è uguale a questo valore, a tutti gli utenti standard viene impedito di inviare comandi che richiedono l'autorizzazione al modulo TPM (Trusted Platform Module).

Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando il Centro sicurezza Windows Defender. Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati. Ciò consente agli utenti standard di usare immediatamente il TPM normalmente.

Se non si configura questa impostazione di criterio, viene usato il valore predefinito 9. Il valore zero indica che il sistema operativo non consentirà agli utenti standard di inviare comandi al TPM, il che potrebbe causare un errore di autorizzazione.

Configurare il sistema per l'uso dell'impostazione dei parametri di prevenzione degli attacchi del dizionario legacy per TPM 2.0

Introdotta in Windows 10 versione 1703, questa impostazione di criterio configura il TPM in modo da usare i parametri di prevenzione degli attacchi del dizionario (soglia di blocco e tempo di ripristino) per i valori usati per Windows 10 versione 1607 e successive.

Importante

L'impostazione di questo criterio avrà effetto solo se:

  • Il TPM è stato originariamente preparato usando una versione di Windows dopo Windows 10 versione 1607
  • Il sistema ha un TPM 2.0.

Nota

L'abilitazione di questo criterio avrà effetto solo dopo l'esecuzione dell'attività di manutenzione TPM (che in genere si verifica dopo un riavvio del sistema). Dopo che questo criterio è stato abilitato in un sistema ed è diventato effettivo (dopo il riavvio del sistema), la disabilitazione non avrà alcun impatto e il TPM del sistema rimarrà configurato usando i parametri di prevenzione degli attacchi del dizionario legacy, indipendentemente dal valore di questo criterio di gruppo. Gli unici modi in cui l'impostazione disabilitata di questo criterio ha effetto su un sistema in cui è stata abilitata una volta sono:

  • Disabilitarlo da Criteri di gruppo
  • Cancellare il TPM nel sistema

Impostazioni di Criteri di gruppo TPM in Sicurezza di Windows

È possibile modificare le informazioni visualizzate dall'utente su TPM in Sicurezza di Windows. Le impostazioni Criteri di gruppo per l'area TPM in Sicurezza di Windows si trovano in Computer Configuration>Administrative Templates>Windows ComponentsSicurezza di Windows>Device security (Componenti > di Windows).

Disabilitare il pulsante Cancella TPM

Se non si vuole che gli utenti possano fare clic sul pulsante Cancella TPM in Sicurezza di Windows, è possibile disabilitarlo con questa impostazione di Criteri di gruppo. Selezionare Abilitato per rendere il pulsante Cancella TPM non disponibile per l'uso.

Nascondere la raccomandazione per l'aggiornamento del firmware TPM

Se non si vuole che gli utenti vedano la raccomandazione di aggiornare il firmware TPM, è possibile disabilitarlo con questa impostazione. Selezionare Abilitato per impedire agli utenti di visualizzare una raccomandazione per aggiornare il firmware TPM quando viene rilevato un firmware vulnerabile.