Blocco comandi

Per mantenere l'integrità delle operazioni, alcuni comandi TPM non possono essere eseguiti dal software nella piattaforma. Ad esempio, alcuni comandi vengono eseguiti solo dal software di sistema. Quando TBS blocca un comando, viene restituito un errore in base alle esigenze. Per impostazione predefinita, i comandi TBS possono influire sulla privacy, la sicurezza e la stabilità del sistema. La TBS presuppone inoltre che altre parti dello stack software possano limitare l'accesso a determinati comandi alle entità autorizzate.

Per i comandi TPM versione 1.2 sono disponibili tre elenchi di comandi bloccati: un elenco controllato dai criteri di gruppo, un elenco controllato dagli amministratori locali e un elenco predefinito. Un comando TPM viene bloccato se si trova in uno degli elenchi. Esistono tuttavia flag di criteri di gruppo per consentire a TBS di ignorare l'elenco locale e l'elenco predefinito. I flag di criteri di gruppo possono essere modificati direttamente o accessibili tramite l'editor di oggetti Criteri di gruppo.

Nota

L'elenco dei comandi bloccati in locale non viene mantenuto dopo un aggiornamento al sistema operativo. I comandi bloccati nell'elenco di Criteri di gruppo vengono mantenuti.

 

Per i comandi TPM versione 2.0, la logica per il blocco viene invertita; usa un elenco di comandi consentiti. Questa logica blocca automaticamente i comandi che non erano noti quando l'elenco è stato eseguito per la prima volta. Quando i comandi vengono aggiunti alla specifica TPM dopo la spedizione di una versione di Windows, questi nuovi comandi vengono bloccati automaticamente. Solo un aggiornamento del Registro di sistema aggiungerà questi nuovi comandi all'elenco dei comandi consentiti.

A partire da Windows 10 1809 (Windows Server 2019), i comandi TPM 2.0 consentiti non possono più essere modificati tramite le impostazioni del Registro di sistema. Per queste versioni Windows 10, i comandi TPM 2.0 consentiti vengono corretti nel driver TPM. I comandi TPM 1.2 possono comunque essere bloccati e sbloccati tramite modifiche del Registro di sistema.

Accesso diretto al Registro di sistema

I flag di Criteri di gruppo sono sotto chiave del Registro di sistema HKEY_LOCAL_MACHINE\Criteri\software\Microsoft\Tpm\BlockedCommands.

Per determinare quali elenchi devono essere usati per bloccare i comandi TPM, sono disponibili due valori DWORD usati come flag booleani:

• "IgnoreDefaultList"

  Se impostato (il valore esiste ed è diverso da zero), TBS ignora l'elenco dei comandi bloccati predefiniti.

• "IgnoreLocalList"

  Se impostato (il valore esiste ed è diverso da zero), TBS ignora l'elenco dei comandi bloccati locali.

Editor oggetti Criteri di gruppo

Per accedere all'editor di oggetti Criteri di gruppo

1. Fare clic su Start (Avvia).
2. Fare clic su Esegui.
3. Nella casella Apri digitare gpedit.msc. Fare clic su OK. Verrà aperto l'editor di oggetti Criteri di gruppo.
4. Espandere Configurazione computer.
5. Espandere Modelli amministrativi.
6. Espandere Sistema.
7. Espandere Trusted Platform Module Services.

Gli elenchi di comandi TPM1.2 bloccati specifici possono essere modificati direttamente nelle posizioni seguenti.

• Elenco criteri di gruppo:

  HKEY_LOCAL_MACHINE
     Software
        Policies
           Microsoft
              Tpm
                 BlockedCommands
                    List
  

• Elenco locale:

  HKEY_LOCAL_MACHINE
     SYSTEM
        CurrentControlSet
           Services
              SharedAccess
                 Parameters
                    Tpm
                       BlockedCommands
                          List
  

• Elenco predefinito:

  HKEY_LOCAL_MACHINE
     Software
        Microsoft
           Tpm
              BlockedCommands
                 List
  

In ognuna di queste chiavi del Registro di sistema è presente un elenco di valori del Registro di sistema di REG_SZ tipo. Ogni valore rappresenta un comando TPM bloccato. Ogni chiave del Registro di sistema ha un campo "Nome valore" e un campo "Valore dati". Entrambi i campi ("Nome valore" e "Dati valore"), devono corrispondere esattamente al valore decimale dell'ordinale dei comandi TPM da bloccare.

L'elenco di comandi TPM 2.0 specifici consentiti può essere modificato direttamente nella posizione seguente. Nella chiave del Registro di sistema è presente un elenco di valori del Registro di sistema di REG_DWORD tipo. Ogni valore rappresenta un comando TPM 2.0 consentito. Ogni valore del Registro di sistema ha un nome e un campo valore . Il nome corrisponde all'ordinale ordinale TPM esadecimale TPM 2.0 che deve essere consentito. Il valore ha un valore pari a 1 se il comando è consentito. Se un ordinale di comando non è presente o ha un valore pari a 0, il comando verrà bloccato.

• Elenco predefinito:

  HKEY_LOCAL_MACHINE
     Software
        Microsoft
           Tpm
              AllowedW8Commands
                 List
  

Per Windows 8, Windows Server 2012 e versioni successive, le chiavi del Registro di sistema BlockedCommands e AllowedW8Commands determinano rispettivamente i comandi TPM bloccati o consentiti per gli account amministratore. Gli account utente hanno un elenco di comandi TPM bloccati o consentiti rispettivamente nelle chiavi del Registro di sistema BlockedUserCommands e AllowedW8UserCommands . In Windows 10 versione 1607 sono state introdotte nuove chiavi del Registro di sistema per le applicazioni AppContainer: BlockedAppContainerCommands e AllowedW8AppContainerCommands.