Gerenciar comandos do TPM

Este artigo para o profissional de TI descreve como gerenciar quais comandos do TPM (Trusted Platform Module) estão disponíveis para usuários de domínio e para usuários locais.

Depois que um usuário de computador assume a propriedade do TPM, o proprietário do TPM pode limitar quais comandos TPM podem ser executados criando uma lista de comandos TPM bloqueados. A lista pode ser criada e aplicada a todos os computadores em um domínio usando Política de Grupo ou uma lista pode ser criada para computadores individuais usando o MMC do TPM. Como alguns fornecedores de hardware podem fornecer comandos adicionais ou o Grupo de Computação Confiável pode decidir adicionar comandos no futuro, o MMC do TPM também dá suporte à capacidade de bloquear novos comandos.

Os procedimentos a seguir descrevem como gerenciar as listas de comandos do TPM. Você deve ser um membro do grupo de administradores locais.

Bloquear comandos TPM usando o Política de Grupo Editor Local

  1. Abra a Política de Grupo Editor Local (gpedit.msc). Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é o que você deseja e selecione Sim.

    Observação

    Administradores com direitos apropriados em um domínio podem configurar um GPO (objeto Política de Grupo) que pode ser aplicado por meio de Active Directory Domain Services (AD DS).

  2. Na árvore do console, em Configuração do Computador, expanda Modelos Administrativos e expanda Sistema.

  3. Em Sistema, selecione Serviços de Módulo de Plataforma Confiável.

  4. No painel de detalhes, clique duas vezes em Configurar a lista de comandos TPM bloqueados.

  5. Selecione Habilitado e, em seguida, selecione Mostrar.

  6. Para cada comando que você deseja bloquear, selecione Adicionar, insira o número de comando e selecione OK.

    Observação

    Para obter uma lista de comandos, consulte links na Especificação do TPM.

  7. Depois de adicionar números para cada comando que deseja bloquear, selecione OK duas vezes.

  8. Feche a Política de Grupo Editor Local.

Bloquear ou permitir comandos TPM usando o MMC do TPM

  1. Abra o MMC do TPM (tpm.msc). Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é o que você deseja e selecione Sim.

  2. Na árvore de console, selecione Gerenciamento de Comandos. Uma lista de comandos TPM é exibida.

  3. Na lista, selecione um comando que você deseja bloquear ou permitir.

  4. Em Ações, selecione Bloquear Comando Selecionado ou Permitir Comando Selecionado conforme necessário. Se Permitir Comando Selecionado não estiver disponível, esse comando será bloqueado no momento por Política de Grupo.

Bloquear novos comandos

  1. Abra o MMC do TPM (tpm.msc). Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é o que você deseja e selecione Sim.

  2. Na árvore de console, selecione Gerenciamento de Comandos. Uma lista de comandos TPM é exibida.

  3. No painel Ação , selecione Bloquear Novo Comando. A caixa de diálogo Bloquear Novo Comando é exibida.

  4. Na caixa de texto Número de Comando , digite o número do novo comando que você deseja bloquear e selecione OK. O número de comando inserido é adicionado à lista bloqueada.

Usar os cmdlets do TPM

Você pode gerenciar o TPM usando Windows PowerShell. Para obter detalhes, consulte Cmdlets TrustedPlatformModule PowerShell.