명령 차단

작업의 무결성을 유지하기 위해 플랫폼의 소프트웨어에서 특정 TPM 명령을 실행할 수 없습니다. 예를 들어 일부 명령은 시스템 소프트웨어에서만 실행됩니다. TBS가 명령을 차단하면 오류가 적절하게 반환됩니다. 기본적으로 TBS는 시스템 개인 정보, 보안 및 안정성에 영향을 미칠 수 있는 명령을 차단합니다. 또한 TBS는 소프트웨어 스택의 다른 부분에서 권한 있는 엔터티에 대한 특정 명령에 대한 액세스를 제한할 수 있다고 가정합니다.

TPM 버전 1.2 명령의 경우 차단된 명령의 세 가지 목록이 있습니다. 그룹 정책으로 제어되는 목록, 로컬 관리자가 제어하는 목록 및 기본 목록입니다. TPM 명령이 목록에 있으면 차단됩니다. 그러나 TBS가 로컬 목록 및 기본 목록을 무시하도록 허용하는 그룹 정책 플래그가 있습니다. 그룹 정책 플래그는 그룹 정책 개체 편집기를 통해 직접 편집하거나 액세스할 수 있습니다.

참고

운영 체제로 업그레이드한 후에는 로컬로 차단된 명령 목록이 유지되지 않습니다. 그룹 정책 목록에서 차단된 명령은 유지됩니다.

 

TPM 버전 2.0 명령의 경우 차단 논리가 반전됩니다. 허용되는 명령 목록을 사용합니다. 이 논리는 목록이 처음 만들어졌을 때 알려지지 않은 명령을 자동으로 차단합니다. Windows 버전이 제공된 후 명령이 TPM 사양에 추가되면 이러한 새 명령이 자동으로 차단됩니다. 레지스트리의 업데이트만 허용된 명령 목록에 이러한 새 명령을 추가합니다.

Windows 10 1809(Windows Server 2019)부터 허용된 TPM 2.0 명령은 레지스트리 설정을 통해 더 이상 조작할 수 없습니다. 이러한 Windows 10 버전의 경우 허용되는 TPM 2.0 명령은 TPM 드라이버에서 수정됩니다. TPM 1.2 명령은 레지스트리 변경을 통해 차단 및 차단 해제할 수 있습니다.

직접 레지스트리 액세스

그룹 정책 플래그는소프트웨어\정책\Microsoft\Tpm\BlockedCommands에 HKEY_LOCAL_MACHINE\ 레지스트리 키 아래에 있습니다.

TPM 명령을 차단하는 데 사용해야 하는 목록을 결정하기 위해 부울 플래그로 사용되는 두 개의 DWORD 값이 있습니다.

• "IgnoreDefaultList"

  set(값이 존재하고 0이 아닌 경우)이면 TBS는 기본 blocked-commands 목록을 무시합니다.

• "IgnoreLocalList"

  설정된 경우(값이 존재하고 0이 아닌 경우) TBS는 로컬 blocked-commands 목록을 무시합니다.

그룹 정책 개체 편집기

그룹 정책 개체 편집기 액세스

1. 시작을 클릭합니다.
2. 실행을 클릭합니다.
3. 열기 상자에 gpedit.msc를 입력합니다. 확인을 클릭합니다. 그룹 정책 개체 편집기가 열립니다.
4. 컴퓨터 구성을 펼칩니다.
5. 관리 템플릿을 확장합니다.
6. 시스템을 확장합니다.
7. 신뢰할 수 있는 플랫폼 모듈 서비스를 확장합니다.

차단된 특정 TPM1.2 명령 목록은 다음 위치에서 직접 편집할 수 있습니다.

• 그룹 정책 목록:

  HKEY_LOCAL_MACHINE
     Software
        Policies
           Microsoft
              Tpm
                 BlockedCommands
                    List
  

• 로컬 목록:

  HKEY_LOCAL_MACHINE
     SYSTEM
        CurrentControlSet
           Services
              SharedAccess
                 Parameters
                    Tpm
                       BlockedCommands
                          List
  

• 기본 목록:

  HKEY_LOCAL_MACHINE
     Software
        Microsoft
           Tpm
              BlockedCommands
                 List
  

이러한 각 레지스트리 키에는 REG_SZ 유형의 레지스트리 값 목록이 있습니다. 각 값은 차단된 TPM 명령을 나타냅니다. 각 레지스트리 키에는 "값 이름" 필드와 "값 데이터" 필드가 있습니다. 두 필드("값 이름" 및 "값 데이터")는 차단할 TPM 명령 서수의 10진수 값과 정확히 일치해야 합니다.

허용되는 특정 TPM 2.0 명령 목록은 다음 위치에서 직접 편집할 수 있습니다. 레지스트리 키 아래에는 REG_DWORD 형식의 레지스트리 값 목록이 있습니다. 각 값은 허용되는 TPM 2.0 명령을 나타냅니다. 각 레지스트리 값에는 이름과값 필드가 있습니다. 이름은 허용되어야 하는 16진수 TPM 2.0 명령 서수와 일치합니다. 명령이 허용되는 경우 값 의 값은 1입니다. 명령 서수가 없거나 값이 0이면 명령이 차단됩니다.

• 기본 목록:

  HKEY_LOCAL_MACHINE
     Software
        Microsoft
           Tpm
              AllowedW8Commands
                 List
  

Windows 8 Windows Server 2012 이상의 경우 BlockedCommands 및 AllowedW8Commands 레지스트리 키는 각각 관리자 계정에 대해 차단되거나 허용되는 TPM 명령을 결정합니다. 사용자 계정에는 BlockedUserCommands 및AllowedW8UserCommands 레지스트리 키에 각각 차단되거나 허용되는 TPM 명령 목록이 있습니다. Windows 10 버전 1607에서는 AppContainer 애플리케이션에 BlockedAppContainerCommands 및 AllowedW8AppContainerCommands의 새 레지스트리 키가 도입되었습니다.