Compartilhar via


Configurações da Política de Grupo do TPM

Este tópico descreve os Serviços do TPM (Trusted Platform Module) que podem ser controlados centralmente usando Política de Grupo configurações. As configurações Política de Grupo para serviços TPM estão localizadas emModelos Administrativos deConfiguração> de ComputadorServiçosde Módulo de > Plataforma Confiável do Sistema>.

Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operacional

Importante

Começando com Windows 10 versão 1703, o valor padrão é 5. Esse valor é implementado durante o provisionamento para que outro componente do Windows possa excluí-lo ou assumir a propriedade dele, dependendo da configuração do sistema. Para o TPM 2.0, um valor de 5 significa manter a autorização de bloqueio. Para o TPM 1.2, isso significa descartar a autorização do proprietário do TPM completo e manter apenas a autorização Delegada.

Essa configuração de política configurou quais valores de autorização do TPM são armazenados no registro do computador local. Determinados valores de autorização são necessários para permitir que o Windows execute determinadas ações.

Valor TPM 1.2 Valor TPM 2.0 Finalidade Mantido no nível 0? Mantido no nível 2? Mantido no nível 4?
OwnerAuthAdmin StorageOwnerAuth Criar SRK Não Sim Sim
OwnerAuthEndorsement EndorsementAuth Criar ou usar o EK (somente 1.2: Criar AIK) Não Sim Sim
OwnerAuthFull LockoutAuth Redefinir/alterar a Proteção contra Ataque do Dicionário Não Não Sim

Há três configurações de autenticação do proprietário do TPM que são gerenciadas pelo sistema operacional Windows. Você pode escolher um valor de Completo, Delegado ou Nenhum.

  • Completo: essa configuração armazena a autorização completa do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de usuário do TPM no registro local. Com essa configuração, você pode usar o TPM sem exigir armazenamento remoto ou externo do valor de autorização do proprietário do TPM. Essa configuração é apropriada para cenários que não exigem que você reinicie a lógica anti-martelada do TPM ou altere o valor de autorização do proprietário do TPM. Alguns aplicativos baseados em TPM podem exigir que essa configuração seja alterada antes que recursos que dependem da lógica anti-martelada do TPM possam ser usados. A autorização completa do proprietário no TPM 1.2 é semelhante à autorização de bloqueio no TPM 2.0. A autorização do proprietário tem um significado diferente para o TPM 2.0.

  • Delegado: essa configuração armazena apenas o blob de delegação administrativa do TPM e o blob de delegação de usuário do TPM no registro local. Essa configuração é apropriada para uso com aplicativos baseados em TPM que dependem da lógica antihammering do TPM. Essa é a configuração padrão no Windows antes da versão 1703.

  • Nenhuma: essa configuração fornece compatibilidade com sistemas operacionais e aplicativos anteriores. Você também pode usá-lo para cenários em que a autorização do proprietário do TPM não pode ser armazenada localmente. O uso dessa configuração pode causar problemas com alguns aplicativos baseados em TPM.

Observação

Se a configuração de autenticação TPM gerenciada pelo sistema operacional for alterada de Completo para Delegado, o valor completo de autorização do proprietário do TPM será regenerado e quaisquer cópias do valor de autorização de proprietário do TPM definido anteriormente serão inválidas.

Informações do Registro

Chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

A tabela a seguir mostra os valores de autorização do proprietário do TPM no registro.

Dados de valor Configuração
0 Nenhum
2 Delegada
4 Completo

Se você habilitar essa configuração de política, o sistema operacional Windows armazenará a autorização do proprietário do TPM no registro do computador local de acordo com a configuração de autenticação TPM escolhida.

Em Windows 10 anterior à versão 1607, se você desabilitar ou não configurar essa configuração de política e ativar o backup do TPM para Active Directory Domain Services configuração de política também estiver desabilitado ou não configurado, a configuração padrão será armazenar o valor de autorização TPM completo no registro local. Se essa política estiver desabilitada ou não estiver configurada, e a configuração ativar o backup do TPM para Active Directory Domain Services política estiver habilitada, somente a delegação administrativa e os blobs de delegação de usuário serão armazenados no registro local.

Duração do bloqueio de usuário padrão

Essa configuração de política permite que você gerencie a duração em minutos para contar falhas de autorização de usuário padrão para comandos TPM (Trusted Platform Module) que exigem autorização. Uma falha de autorização ocorre sempre que um usuário padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização que são mais antigas do que a duração que você define são ignoradas. Se o número de comandos TPM com uma falha de autorização dentro da duração do bloqueio for igual a um limite, um usuário padrão será impedido de enviar comandos que exigem autorização para o TPM.

O TPM foi projetado para se proteger contra ataques de adivinhação de senha inserindo um modo de bloqueio de hardware quando recebe muitos comandos com um valor de autorização incorreto. Quando o TPM entra em um modo de bloqueio, ele é global para todos os usuários (incluindo administradores) e para recursos do Windows, como o BitLocker Drive Encryption.

Essa configuração ajuda os administradores a impedir que o hardware TPM insira um modo de bloqueio diminuindo a velocidade em que os usuários padrão podem enviar comandos que exigem autorização para o TPM.

Para cada usuário padrão, dois limites se aplicam. Exceder qualquer limite impede que o usuário envie um comando que requer autorização para o TPM. Use as seguintes configurações de política para definir a duração do bloqueio:

  • Limite de bloqueio individual do usuário padrão: esse valor é o número máximo de falhas de autorização que cada usuário padrão pode ter antes que o usuário não tenha permissão para enviar comandos que exigem autorização para o TPM.
  • Limite total de bloqueio de usuário padrão: esse valor é o número total máximo de falhas de autorização que todos os usuários padrão podem ter antes que todos os usuários padrão não tenham permissão para enviar comandos que exigem autorização para o TPM.

Um administrador com a senha do proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando a Central de Segurança Windows Defender. Sempre que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de TPM padrão anteriores são ignoradas. Isso permite que os usuários padrão usem imediatamente o TPM normalmente.

Se você não configurar essa configuração de política, um valor padrão de 480 minutos (8 horas) será usado.

Limite de bloqueio individual do usuário padrão

Essa configuração de política permite gerenciar o número máximo de falhas de autorização para cada usuário padrão do TPM (Trusted Platform Module). Esse valor é o número máximo de falhas de autorização que cada usuário padrão pode ter antes que o usuário não tenha permissão para enviar comandos que exigem autorização para o TPM. Se o número de falhas de autorização para o usuário dentro da duração definida para a configuração de política de Duração de Bloqueio de Usuário Padrão for igual a esse valor, o usuário padrão será impedido de enviar comandos que exigem autorização para o TPM (Módulo de Plataforma Confiável).

Essa configuração ajuda os administradores a impedir que o hardware TPM insira um modo de bloqueio diminuindo a velocidade em que os usuários padrão podem enviar comandos que exigem autorização para o TPM.

Uma falha de autorização ocorre sempre que um usuário padrão envia um comando para o TPM e recebe uma resposta de erro indicando que ocorreu uma falha de autorização. Falhas de autorização mais antigas que a duração são ignoradas.

Um administrador com a senha do proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando a Central de Segurança Windows Defender. Sempre que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de TPM padrão anteriores são ignoradas. Isso permite que os usuários padrão usem imediatamente o TPM normalmente.

Se você não configurar essa configuração de política, um valor padrão de 4 será usado. Um valor zero significa que o sistema operacional não permitirá que os usuários padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Limite total de bloqueio do usuário padrão

Essa configuração de política permite gerenciar o número máximo de falhas de autorização para todos os usuários padrão do TPM (Trusted Platform Module). Se o número total de falhas de autorização para todos os usuários padrão dentro da duração definida para a política de Duração de Bloqueio de Usuário Padrão for igual a esse valor, todos os usuários padrão serão impedidos de enviar comandos que exigem autorização para o TPM (Módulo de Plataforma Confiável).

Essa configuração ajuda os administradores a impedir que o hardware do TPM insira um modo de bloqueio porque reduz a velocidade que os usuários padrão podem enviar comandos que exigem autorização para o TPM.

Uma falha de autorização ocorre sempre que um usuário padrão envia um comando para o TPM e recebe uma resposta de erro indicando que ocorreu uma falha de autorização. Falhas de autorização mais antigas que a duração são ignoradas.

Um administrador com a senha do proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando a Central de Segurança Windows Defender. Sempre que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de TPM padrão anteriores são ignoradas. Isso permite que os usuários padrão usem imediatamente o TPM normalmente.

Se você não configurar essa configuração de política, um valor padrão de 9 será usado. Um valor zero significa que o sistema operacional não permitirá que os usuários padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Configurar o sistema para usar a configuração de Parâmetros de Prevenção de Ataque do Dicionário herdado para TPM 2.0

Introduzida no Windows 10, versão 1703, essa configuração de política configura o TPM para usar os Parâmetros de Prevenção de Ataque do Dicionário (limite de bloqueio e tempo de recuperação) para os valores usados para Windows 10 Versão 1607 e abaixo.

Importante

A configuração dessa política só entrará em vigor se:

  • O TPM foi originalmente preparado usando uma versão do Windows após Windows 10 Versão 1607
  • O sistema tem um TPM 2.0.

Observação

Habilitar essa política só entrará em vigor após a execução da tarefa de manutenção do TPM (que normalmente acontece após uma reinicialização do sistema). Depois que essa política tiver sido habilitada em um sistema e entrar em vigor (após uma reinicialização do sistema), desativá-la não terá impacto e o TPM do sistema permanecerá configurado usando os parâmetros herdados de Prevenção de Ataque do Dicionário, independentemente do valor dessa política de grupo. As únicas maneiras de a configuração desabilitada dessa política entrar em vigor em um sistema em que ela já foi habilitada são:

  • Desabilitá-lo da política de grupo
  • Limpar o TPM no sistema

Configurações de Política de Grupo do TPM no Segurança do Windows

Você pode alterar o que os usuários veem sobre o TPM no Segurança do Windows. As configurações de Política de Grupo para a área TPM em Segurança do Windows estãolocalizadas em Modelos Administrativos deConfiguração> de ComputadorComponentes>> do Windows Segurança do Windows>Device security.

Desabilitar o botão Limpar TPM

Se você não quiser que os usuários possam clicar no botão Limpar TPM no Segurança do Windows, poderá desabilitar com essa configuração de Política de Grupo. Selecione Habilitado para tornar o botão Limpar TPM indisponível para uso.

Ocultar a recomendação de Atualização de Firmware do TPM

Se você não quiser que os usuários vejam a recomendação para atualizar o firmware do TPM, você pode desabilitar com essa configuração. Selecione Habilitado para impedir que os usuários vejam uma recomendação para atualizar seu firmware TPM quando um firmware vulnerável for detectado.