정책 CSP - ADMX_TPM
팁
이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.
SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.
BlockedCommandsList_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
이 정책 설정을 사용하면 Windows에서 차단한 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 그룹 정책 목록을 관리할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 Windows에서 지정된 명령이 컴퓨터의 TPM으로 전송되지 않도록 차단합니다. TPM 명령은 명령 번호로 참조됩니다. 예를 들어 명령 번호 129는 TPM_OwnerReadInternalPub 명령 번호 170은 TPM_FieldUpgrade. TPM 1.2를 사용하여 각 TPM 명령과 연결된 명령 번호를 찾으려면 "tpm.msc"를 실행하고 "명령 관리" 섹션으로 이동합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 기본 또는 로컬 목록을 통해 지정된 TPM 명령만 Windows에서 차단할 수 있습니다. 차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. "tpm.msc"를 실행하고, "명령 관리" 섹션으로 이동하고, "기본 블록 목록의" 열을 표시하여 기본 목록을 볼 수 있습니다. 차단된 TPM 명령의 로컬 목록은 "tpm.msc"를 실행하거나 Win32_Tpm 인터페이스에 대한 스크립팅을 통해 그룹 정책 외부에서 구성됩니다. 차단된 TPM 명령의 기본 및 로컬 목록을 적용하거나 무시하려면 관련 정책 설정을 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | BlockedCommandsList_Name |
| 이름 | 차단된 TPM 명령 목록 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| 레지스트리 값 이름 | 설정됨 |
| ADMX 파일 이름 | TPM.admx |
ClearTPMIfNotReady_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
이 정책 설정은 TPM이 준비 이외의 상태에 있는 것으로 감지되면 사용자에게 TPM을 지우라는 메시지를 표시하도록 시스템을 구성합니다. 이 정책은 TPM이 "준비됨, 기능이 축소된 상태"인 경우를 포함하여 시스템의 TPM이 Ready 이외의 상태에 있는 경우에만 적용됩니다. TPM을 지우라는 프롬프트는 로그인한 사용자가 시스템에 대한 Administrators 그룹의 일부인 경우에만 사용자 로그인 시 다음 다시 부팅 후에 시작됩니다. 프롬프트를 해제할 수 있지만 정책을 사용하지 않도록 설정하거나 TPM이 준비 상태가 될 때까지 다시 부팅하고 로그인할 때마다 다시 나타납니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | ClearTPMIfNotReady_Name |
| 이름 | 준비 상태가 아닌 경우 TPM을 지우도록 시스템을 구성합니다. |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\TPM |
| 레지스트리 값 이름 | ClearTPMIfNotReadyGP |
| ADMX 파일 이름 | TPM.admx |
IgnoreDefaultList_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
이 정책 설정을 사용하면 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 기본 목록을 적용하거나 무시할 수 있습니다.
- 이 정책 설정을 사용하도록 설정하면 Windows는 컴퓨터의 차단된 TPM 명령의 기본 목록을 무시하고 그룹 정책 또는 로컬 목록에서 지정한 TPM 명령만 차단합니다.
차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. "tpm.msc"를 실행하고, "명령 관리" 섹션으로 이동하고, "기본 블록 목록의" 열을 표시하여 기본 목록을 볼 수 있습니다. 차단된 TPM 명령의 로컬 목록은 "tpm.msc"를 실행하거나 Win32_Tpm 인터페이스에 대한 스크립팅을 통해 그룹 정책 외부에서 구성됩니다. 차단된 TPM 명령의 그룹 정책 목록을 구성하려면 관련 정책 설정을 참조하세요.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows는 그룹 정책 명령과 차단된 TPM 명령의 로컬 목록 외에도 기본 목록의 TPM 명령을 차단합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | IgnoreDefaultList_Name |
| 이름 | 차단된 TPM 명령의 기본 목록 무시 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\TPM\BlockedCommands |
| 레지스트리 값 이름 | IgnoreDefaultList |
| ADMX 파일 이름 | TPM.admx |
IgnoreLocalList_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
이 정책 설정을 사용하면 컴퓨터의 차단된 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 로컬 목록을 적용하거나 무시할 수 있습니다.
- 이 정책 설정을 사용하면 Windows에서 컴퓨터의 차단된 TPM 명령 로컬 목록을 무시하고 그룹 정책 또는 기본 목록에서 지정한 TPM 명령만 차단합니다.
차단된 TPM 명령의 로컬 목록은 "tpm.msc"를 실행하거나 Win32_Tpm 인터페이스에 대한 스크립팅을 통해 그룹 정책 외부에서 구성됩니다. 차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. 차단된 TPM 명령의 그룹 정책 목록을 구성하려면 관련 정책 설정을 참조하세요.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows는 그룹 정책 명령과 차단된 TPM 명령의 기본 목록 외에도 로컬 목록에 있는 TPM 명령을 차단합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | IgnoreLocalList_Name |
| 이름 | 차단된 TPM 명령의 로컬 목록 무시 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\TPM\BlockedCommands |
| 레지스트리 값 이름 | IgnoreLocalList |
| ADMX 파일 이름 | TPM.admx |
OptIntoDSHA_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
이 그룹 정책은 지원되는 디바이스에서 DHA-report(디바이스 상태 증명 보고)를 사용하도록 설정합니다. 지원되는 디바이스는 디바이스가 시작될 때마다 디바이스 상태 증명 관련 정보(디바이스 부팅 로그, PCR 값, TPM 인증서 등)를 디바이스 상태 증명 서비스(DHA-Service)로 보낼 수 있습니다. Device Health 증명 서비스는 디바이스의 보안 상태 및 상태의 유효성을 검사하고 클라우드 기반 보고 포털을 통해 엔터프라이즈 관리자가 결과에 액세스할 수 있도록 합니다. 이 정책은 디바이스 관리 효율성 솔루션(예: MDM 또는 SCCM)에서 시작된 DHA 보고서와 독립적이며 워크플로를 방해하지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | OptIntoDSHA_Name |
| 이름 | 디바이스 상태 증명 모니터링 및 보고 사용 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 디바이스 상태 증명 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\DeviceHealthAttestationService |
| 레지스트리 값 이름 | EnableDeviceHealthAttestationService |
| ADMX 파일 이름 | TPM.admx |
OSManagedAuth_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
이 정책 설정은 로컬 컴퓨터의 레지스트리에 저장된 TPM 소유자 권한 부여 정보의 양을 구성합니다. 로컬에 저장된 TPM 소유자 권한 부여 정보의 양에 따라 운영 체제 및 TPM 기반 애플리케이션은 사용자가 TPM 소유자 암호를 입력할 필요 없이 TPM 소유자 권한 부여가 필요한 특정 TPM 작업을 수행할 수 있습니다.
운영 체제에서 전체 TPM 소유자 권한 부여 값, TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob을 저장하도록 선택할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 Windows는 선택한 운영 체제 관리 TPM 인증 설정에 따라 로컬 컴퓨터의 레지스트리에 TPM 소유자 권한 부여를 저장합니다.
"전체"의 운영 체제 관리 TPM 인증 설정을 선택하여 전체 TPM 소유자 권한 부여, TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob을 로컬 레지스트리에 저장합니다. 이 설정을 사용하면 TPM 소유자 권한 부여 값의 원격 또는 외부 스토리지 없이 TPM을 사용할 수 있습니다. 이 설정은 TPM 망치 방지 논리의 재설정을 방지하거나 TPM 소유자 권한 부여 값을 변경하는 데 의존하지 않는 시나리오에 적합합니다. 일부 TPM 기반 애플리케이션은 TPM 망치 방지 논리에 의존하는 기능을 사용하기 전에 이 설정을 변경해야 할 수 있습니다.
"위임됨"의 운영 체제 관리 TPM 인증 설정을 선택하여 TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob만 로컬 레지스트리에 저장합니다. 이 설정은 TPM 망치 방지 논리에 의존하는 TPM 기반 애플리케이션에 사용하기에 적합합니다.
이전 운영 체제 및 애플리케이션과의 호환성을 위해 또는 TPM 소유자 권한 부여가 로컬로 저장되지 않는 시나리오에서 사용하려면 "없음"의 운영 체제 관리 TPM 인증 설정을 선택합니다. 이 설정을 사용하면 일부 TPM 기반 애플리케이션에 문제가 발생할 수 있습니다.
참고
운영 체제 관리 TPM 인증 설정이 "전체"에서 "위임됨"으로 변경되면 전체 TPM 소유자 권한 부여 값이 다시 생성되고 원래 TPM 소유자 권한 부여 값의 복사본이 잘못됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | OSManagedAuth_Name |
| 이름 | 운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\TPM |
| ADMX 파일 이름 | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
이 정책 설정을 사용하면 권한 부여가 필요한 TPM(신뢰할 수 있는 플랫폼 모듈) 명령에 대한 표준 사용자 권한 부여 실패를 계산하기 위한 기간을 분 단위로 관리할 수 있습니다. 기간 내에 권한 부여 실패가 있는 TPM 명령 수가 임계값과 같으면 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없습니다.
이 설정을 사용하면 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도가 느려지기 때문에 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.
인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 이 기간보다 오래된 권한 부여 실패는 무시됩니다.
각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값 중 하나를 초과하면 표준 사용자가 권한 부여가 필요한 명령을 TPM으로 보낼 수 없습니다.
표준 사용자 잠금 임계값 개별 값은 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다.
표준 사용자 잠금 총 임계값은 모든 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 모든 표준 사용자가 가질 수 있는 최대 총 권한 부여 실패 수입니다.
TPM은 잘못된 권한 부여 값으로 너무 많은 명령을 수신할 때 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 자신을 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 BitLocker 드라이브 암호화와 같은 관리자 및 Windows 기능을 포함한 모든 사용자에게 전역입니다. TPM에서 허용하는 권한 부여 실패 수와 잠긴 상태로 유지되는 기간은 TPM 제조업체에 따라 다릅니다. 일부 TPM은 과거 실패에 따라 권한 부여 실패가 적어 연속적으로 더 긴 기간 동안 잠금 모드로 전환할 수 있습니다. 일부 TPM은 잠금 모드를 종료하기 위해 시스템을 다시 시작해야 할 수 있습니다. 다른 TPM은 TPM이 잠금 모드를 종료하기 전에 시스템이 충분한 클록 주기가 경과하도록 요구할 수 있습니다.
TPM 소유자 암호를 가진 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 표준 사용자가 TPM을 정상적으로 즉시 다시 사용할 수 있도록 허용합니다.
이 값을 구성하지 않으면 기본값인 480분(8시간)이 사용됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | StandardUserAuthorizationFailureDuration_Name |
| 이름 | 표준 사용자 잠금 기간 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\Tpm |
| 레지스트리 값 이름 | StandardUserAuthorizationFailureDuration |
| ADMX 파일 이름 | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)의 각 표준 사용자에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 표준 사용자 잠금 기간 동안 사용자에 대한 권한 부여 실패 수가 이 값과 같으면 표준 사용자는 권한 부여가 필요한 TPM(신뢰할 수 있는 플랫폼 모듈)에 명령을 보낼 수 없습니다.
이 설정을 사용하면 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도가 느려지기 때문에 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.
인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 기간보다 오래된 권한 부여 실패는 무시됩니다.
각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값 중 하나를 초과하면 표준 사용자가 권한 부여가 필요한 명령을 TPM으로 보낼 수 없습니다.
이 값은 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다.
표준 사용자 잠금 총 임계값은 모든 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 모든 표준 사용자가 가질 수 있는 최대 총 권한 부여 실패 수입니다.
TPM은 잘못된 권한 부여 값으로 너무 많은 명령을 수신할 때 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 자신을 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 BitLocker 드라이브 암호화와 같은 관리자 및 Windows 기능을 포함한 모든 사용자에게 전역입니다. TPM에서 허용하는 권한 부여 실패 수와 잠긴 상태로 유지되는 기간은 TPM 제조업체에 따라 다릅니다. 일부 TPM은 과거 실패에 따라 권한 부여 실패가 적어 연속적으로 더 긴 기간 동안 잠금 모드로 전환할 수 있습니다. 일부 TPM은 잠금 모드를 종료하기 위해 시스템을 다시 시작해야 할 수 있습니다. 다른 TPM은 TPM이 잠금 모드를 종료하기 전에 시스템이 충분한 클록 주기가 경과하도록 요구할 수 있습니다.
TPM 소유자 암호를 가진 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 표준 사용자가 TPM을 정상적으로 즉시 다시 사용할 수 있도록 허용합니다.
이 값이 구성되지 않은 경우 기본값 4가 사용됩니다.
값이 0이면 OS에서 표준 사용자가 TPM에 명령을 보낼 수 없으므로 권한 부여 오류가 발생할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | StandardUserAuthorizationFailureIndividualThreshold_Name |
| 이름 | 표준 사용자 개별 잠금 임계값 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\Tpm |
| 레지스트리 값 이름 | StandardUserAuthorizationFailureIndividualThreshold |
| ADMX 파일 이름 | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)의 모든 표준 사용자에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 표준 사용자 잠금 기간 기간 내의 모든 표준 사용자에 대한 총 권한 부여 실패 수가 이 값과 같으면 모든 표준 사용자가 권한 부여가 필요한 TPM(신뢰할 수 있는 플랫폼 모듈)에 명령을 보낼 수 없습니다.
이 설정을 사용하면 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도가 느려지기 때문에 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.
인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 기간보다 오래된 권한 부여 실패는 무시됩니다.
각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값 중 하나를 초과하면 표준 사용자가 권한 부여가 필요한 명령을 TPM으로 보낼 수 없습니다.
표준 사용자 개별 잠금 값은 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다.
이 값은 모든 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 모든 표준 사용자가 가질 수 있는 권한 부여 실패의 최대 총 수입니다.
TPM은 잘못된 권한 부여 값으로 너무 많은 명령을 수신할 때 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 자신을 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 BitLocker 드라이브 암호화와 같은 관리자 및 Windows 기능을 포함한 모든 사용자에게 전역입니다. TPM에서 허용하는 권한 부여 실패 수와 잠긴 상태로 유지되는 기간은 TPM 제조업체에 따라 다릅니다. 일부 TPM은 과거 실패에 따라 권한 부여 실패가 적어 연속적으로 더 긴 기간 동안 잠금 모드로 전환할 수 있습니다. 일부 TPM은 잠금 모드를 종료하기 위해 시스템을 다시 시작해야 할 수 있습니다. 다른 TPM은 TPM이 잠금 모드를 종료하기 전에 시스템이 충분한 클록 주기가 경과하도록 요구할 수 있습니다.
TPM 소유자 암호를 가진 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 표준 사용자가 TPM을 정상적으로 즉시 다시 사용할 수 있도록 허용합니다.
이 값이 구성되지 않은 경우 기본값 9가 사용됩니다.
값이 0이면 OS에서 표준 사용자가 TPM에 명령을 보낼 수 없으므로 권한 부여 오류가 발생할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | StandardUserAuthorizationFailureTotalThreshold_Name |
| 이름 | 표준 사용자 총 잠금 임계값 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\Tpm |
| 레지스트리 값 이름 | StandardUserAuthorizationFailureTotalThreshold |
| ADMX 파일 이름 | TPM.admx |
UseLegacyDAP_Name
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
이 정책 설정은 사전 공격 방지 매개 변수(잠금 임계값 및 복구 시간)를 Windows 10 버전 1607 이하에 사용된 값으로 사용하도록 TPM을 구성합니다. 이 정책 설정은 a) Windows 10 버전 1607 및 b) 시스템에 TPM 2.0이 있는 후 원래 Windows 버전을 사용하여 TPM을 준비한 경우에만 적용됩니다. 이 정책을 사용하도록 설정하면 TPM 유지 관리 작업이 실행된 후에만 적용됩니다(일반적으로 시스템을 다시 시작한 후에 발생). 시스템에서 이 정책을 사용하도록 설정하고(시스템을 다시 시작한 후) 사용하지 않도록 설정하면 영향을 주지 않으며 이 그룹 정책의 값에 관계없이 레거시 사전 공격 방지 매개 변수를 사용하여 시스템의 TPM이 구성된 상태로 유지됩니다. 이 정책의 비활성화된 설정이 한 번 사용하도록 설정된 시스템에 적용되는 유일한 방법은 a) 그룹 정책에서 사용하지 않도록 설정하고 b)시스템에서 TPM을 지우는 것입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | UseLegacyDAP_Name |
| 이름 | TPM 2.0에 대한 레거시 사전 공격 방지 매개 변수 설정을 사용하도록 시스템을 구성합니다. |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 신뢰할 수 있는 플랫폼 모듈 서비스 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\TPM |
| 레지스트리 값 이름 | UseLegacyDictionaryAttackParameters |
| ADMX 파일 이름 | TPM.admx |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기