Política CSP – ADMX_TPM
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
BlockedCommandsList_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
Essa configuração de política permite que você gerencie a lista Política de Grupo de comandos TPM (Trusted Platform Module) bloqueados pelo Windows.
Se você habilitar essa configuração de política, o Windows impedirá que os comandos especificados sejam enviados para o TPM no computador. Os comandos TPM são referenciados por um número de comando. Por exemplo, o número de comando 129 é TPM_OwnerReadInternalPub e o número de comando 170 é TPM_FieldUpgrade. Para localizar o número de comando associado a cada comando TPM com o TPM 1.2, execute "tpm.msc" e navegue até a seção "Gerenciamento de Comandos".
Se você desabilitar ou não configurar essa configuração de política, somente os comandos TPM especificados por meio das listas locais ou padrão poderão ser bloqueados pelo Windows. A lista padrão de comandos TPM bloqueados é pré-configurada pelo Windows. Você pode exibir a lista padrão executando "tpm.msc", navegando até a seção "Gerenciamento de Comandos" e tornando visível a coluna "Na Lista de Blocos Padrão". A lista local de comandos TPM bloqueados é configurada fora do Política de Grupo executando "tpm.msc" ou por scripts na interface Win32_Tpm. Consulte as configurações de política relacionadas para impor ou ignorar as listas padrão e locais de comandos TPM bloqueados.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | BlockedCommandsList_Name |
| Nome Amigável | Configurar a lista de comandos TPM bloqueados |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| Nome do Valor do Registro | Habilitado |
| Nome do Arquivo ADMX | TPM.admx |
ClearTPMIfNotReady_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
Essa configuração de política configura o sistema para solicitar que o usuário desmarque o TPM se o TPM for detectado em qualquer estado diferente de Pronto. Essa política só entrará em vigor se o TPM do sistema estiver em um estado diferente de Pronto, inclusive se o TPM estiver "Pronto, com funcionalidade reduzida". O prompt para limpar o TPM começará a ocorrer após a próxima reinicialização, após o logon do usuário somente se o usuário conectado fizer parte do grupo Administradores do sistema. O prompt pode ser descartado, mas reaparecerá após cada reinicialização e logon até que a política seja desabilitada ou até que o TPM esteja em um estado pronto.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ClearTPMIfNotReady_Name |
| Nome Amigável | Configure o sistema para limpar o TPM se ele não estiver em um estado pronto. |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\TPM |
| Nome do Valor do Registro | ClearTPMIfNotReadyGP |
| Nome do Arquivo ADMX | TPM.admx |
IgnoreDefaultList_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
Essa configuração de política permite impor ou ignorar a lista padrão do computador de comandos TPM (Trusted Platform Module) bloqueados.
- Se você habilitar essa configuração de política, o Windows ignorará a lista padrão do computador de comandos TPM bloqueados e bloqueará apenas os comandos TPM especificados por Política de Grupo ou pela lista local.
A lista padrão de comandos TPM bloqueados é pré-configurada pelo Windows. Você pode exibir a lista padrão executando "tpm.msc", navegando até a seção "Gerenciamento de Comandos" e tornando visível a coluna "Na Lista de Blocos Padrão". A lista local de comandos TPM bloqueados é configurada fora do Política de Grupo executando "tpm.msc" ou por scripts na interface Win32_Tpm. Consulte a configuração de política relacionada para configurar a lista Política de Grupo de comandos TPM bloqueados.
- Se você desabilitar ou não configurar essa configuração de política, o Windows bloqueará os comandos TPM na lista padrão, além de comandos no Política de Grupo e listas locais de comandos TPM bloqueados.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | IgnoreDefaultList_Name |
| Nome Amigável | Ignorar a lista padrão de comandos TPM bloqueados |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\TPM\BlockedCommands |
| Nome do Valor do Registro | IgnoreDefaultList |
| Nome do Arquivo ADMX | TPM.admx |
IgnoreLocalList_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
Essa configuração de política permite impor ou ignorar a lista local do computador de comandos TPM (Módulo de Plataforma Confiável) bloqueados.
- Se você habilitar essa configuração de política, o Windows ignorará a lista local do computador de comandos TPM bloqueados e bloqueará apenas os comandos TPM especificados por Política de Grupo ou pela lista padrão.
A lista local de comandos TPM bloqueados é configurada fora do Política de Grupo executando "tpm.msc" ou por scripts na interface Win32_Tpm. A lista padrão de comandos TPM bloqueados é pré-configurada pelo Windows. Consulte a configuração de política relacionada para configurar a lista Política de Grupo de comandos TPM bloqueados.
- Se você desabilitar ou não configurar essa configuração de política, o Windows bloqueará os comandos TPM encontrados na lista local, além de comandos no Política de Grupo e listas padrão de comandos TPM bloqueados.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | IgnoreLocalList_Name |
| Nome Amigável | Ignorar a lista local de comandos TPM bloqueados |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\TPM\BlockedCommands |
| Nome do Valor do Registro | IgnoreLocalList |
| Nome do Arquivo ADMX | TPM.admx |
OptIntoDSHA_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
Essa política de grupo permite relatórios de atestado de integridade do dispositivo (relatório DHA) em dispositivos com suporte. Ele permite que dispositivos com suporte enviem informações relacionadas ao Atestado de Integridade do Dispositivo (logs de inicialização do dispositivo, valores de PCR, certificado TPM etc.) para o Serviço de Atestado de Integridade do Dispositivo (DHA-Service) sempre que um dispositivo é iniciado. O Serviço de Atestado de Integridade do Dispositivo valida o estado de segurança e a integridade dos dispositivos e torna as descobertas acessíveis aos administradores corporativos por meio de um portal de relatórios baseado em nuvem. Essa política é independente de relatórios DHA iniciados por soluções de gerenciamento de dispositivo (como MDM ou SCCM) e não interferirão em seus fluxos de trabalho.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | OptIntoDSHA_Name |
| Nome Amigável | Habilitar o monitoramento e o relatório de atestado de integridade do dispositivo |
| Localização | Configuração do Computador |
| Caminho | Serviço de Atestado de Integridade do Dispositivo do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\DeviceHealthAttestationService |
| Nome do Valor do Registro | EnableDeviceHealthAttestationService |
| Nome do Arquivo ADMX | TPM.admx |
OSManagedAuth_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
Essa configuração de política configura o quanto das informações de autorização do proprietário do TPM são armazenadas no registro do computador local. Dependendo da quantidade de informações de autorização do proprietário do TPM armazenadas localmente, o sistema operacional e os aplicativos baseados em TPM podem executar determinadas ações TPM que exigem autorização do proprietário do TPM sem exigir que o usuário insira a senha do proprietário do TPM.
Você pode optar por fazer com que o sistema operacional armazene o valor completo de autorização do proprietário do TPM, o blob de delegação administrativa do TPM mais o blob de delegação de usuário do TPM ou nenhum.
Se você habilitar essa configuração de política, o Windows armazenará a autorização do proprietário do TPM no registro do computador local de acordo com a configuração de autenticação TPM gerenciada pelo sistema operacional que você escolher.
Escolha a configuração de autenticação TPM gerenciada pelo sistema operacional de "Full" para armazenar a autorização completa do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de usuário do TPM no registro local. Essa configuração permite o uso do TPM sem exigir armazenamento remoto ou externo do valor de autorização do proprietário do TPM. Essa configuração é apropriada para cenários que não dependem de impedir a redefinição da lógica anti-martelada do TPM ou alterar o valor de autorização do proprietário do TPM. Alguns aplicativos baseados em TPM podem exigir que essa configuração seja alterada antes que recursos que dependem da lógica anti-martelada do TPM possam ser usados.
Escolha a configuração de autenticação TPM gerenciada pelo sistema operacional de "Delegado" para armazenar apenas o blob de delegação administrativa do TPM e o blob de delegação de usuário do TPM no registro local. Essa configuração é apropriada para uso com aplicativos baseados em TPM que dependem da lógica anti-martelada do TPM.
Escolha a configuração de autenticação TPM gerenciada pelo sistema operacional de "Nenhum" para compatibilidade com sistemas operacionais e aplicativos anteriores ou para uso com cenários que exigem que a autorização do proprietário do TPM não seja armazenada localmente. O uso dessa configuração pode causar problemas com alguns aplicativos baseados em TPM.
Observação
Se a configuração de autenticação TPM gerenciada pelo sistema operacional for alterada de "Completo" para "Delegado", o valor completo de autorização do proprietário do TPM será regenerado e todas as cópias do valor original de autorização do proprietário do TPM serão inválidas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | OSManagedAuth_Name |
| Nome Amigável | Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operacional |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\TPM |
| Nome do Arquivo ADMX | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
Essa configuração de política permite que você gerencie a duração em minutos para contar falhas de autorização de usuário padrão para comandos TPM (Trusted Platform Module) que exigem autorização. Se o número de comandos TPM com uma falha de autorização dentro da duração for igual a um limite, um usuário padrão será impedido de enviar comandos que exigem autorização para o TPM.
Essa configuração ajuda os administradores a impedir que o hardware do TPM insira um modo de bloqueio porque reduz a velocidade que os usuários padrão podem enviar comandos que exigem autorização para o TPM.
Uma falha de autorização ocorre sempre que um usuário padrão envia um comando para o TPM e recebe uma resposta de erro indicando que ocorreu uma falha de autorização. Falhas de autorização mais antigas que essa duração são ignoradas.
Para cada usuário padrão, dois limites se aplicam. Exceder qualquer limite impedirá que o usuário padrão envie um comando para o TPM que requer autorização.
O valor individual limite de bloqueio de usuário padrão é o número máximo de falhas de autorização que cada usuário padrão pode ter antes que o usuário não tenha permissão para enviar comandos que exigem autorização para o TPM.
O valor limite total de bloqueio de usuário padrão é o número máximo total de falhas de autorização que todos os usuários padrão podem ter antes que todos os usuários padrão não tenham permissão para enviar comandos que exigem autorização para o TPM.
O TPM foi projetado para se proteger contra ataques de adivinhação de senha inserindo um modo de bloqueio de hardware quando recebe muitos comandos com um valor de autorização incorreto. Quando o TPM entra em um modo de bloqueio, ele é global para todos os usuários, incluindo administradores e recursos do Windows, como o BitLocker Drive Encryption. O número de falhas de autorização que um TPM permite e quanto tempo ele permanece bloqueado variam de acordo com o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos sucessivamente mais longos com menos falhas de autorização, dependendo de falhas passadas. Alguns TPMs podem exigir uma reinicialização do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema esteja ligado para que ciclos de relógio suficientes se decorridos antes que o TPM saia do modo de bloqueio.
Um administrador com a senha do proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando o Console de Gerenciamento do TPM (tpm.msc). Sempre que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de TPM padrão anteriores são ignoradas; permitindo que os usuários padrão usem o TPM normalmente novamente imediatamente.
Se esse valor não estiver configurado, um valor padrão de 480 minutos (8 horas) será usado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | StandardUserAuthorizationFailureDuration_Name |
| Nome Amigável | Duração do bloqueio de usuário padrão |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Tpm |
| Nome do Valor do Registro | StandardUserAuthorizationFailureDuration |
| Nome do Arquivo ADMX | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
Essa configuração de política permite gerenciar o número máximo de falhas de autorização para cada usuário padrão do TPM (Trusted Platform Module). Se o número de falhas de autorização para o usuário dentro da duração da Duração Padrão de Bloqueio de Usuário for igual a esse valor, o usuário padrão será impedido de enviar comandos para o TPM (Trusted Platform Module) que exige autorização.
Essa configuração ajuda os administradores a impedir que o hardware do TPM insira um modo de bloqueio porque reduz a velocidade que os usuários padrão podem enviar comandos que exigem autorização para o TPM.
Uma falha de autorização ocorre sempre que um usuário padrão envia um comando para o TPM e recebe uma resposta de erro indicando que ocorreu uma falha de autorização. Falhas de autorização mais antigas que a duração são ignoradas.
Para cada usuário padrão, dois limites se aplicam. Exceder qualquer limite impedirá que o usuário padrão envie um comando para o TPM que requer autorização.
Esse valor é o número máximo de falhas de autorização que cada usuário padrão pode ter antes que o usuário não tenha permissão para enviar comandos que exigem autorização para o TPM.
O valor limite total de bloqueio de usuário padrão é o número máximo total de falhas de autorização que todos os usuários padrão podem ter antes que todos os usuários padrão não tenham permissão para enviar comandos que exigem autorização para o TPM.
O TPM foi projetado para se proteger contra ataques de adivinhação de senha inserindo um modo de bloqueio de hardware quando recebe muitos comandos com um valor de autorização incorreto. Quando o TPM entra em um modo de bloqueio, ele é global para todos os usuários, incluindo administradores e recursos do Windows, como o BitLocker Drive Encryption. O número de falhas de autorização que um TPM permite e quanto tempo ele permanece bloqueado variam de acordo com o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos sucessivamente mais longos com menos falhas de autorização, dependendo de falhas passadas. Alguns TPMs podem exigir uma reinicialização do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema esteja ligado para que ciclos de relógio suficientes se decorridos antes que o TPM saia do modo de bloqueio.
Um administrador com a senha do proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando o Console de Gerenciamento do TPM (tpm.msc). Sempre que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de TPM padrão anteriores são ignoradas; permitindo que os usuários padrão usem o TPM normalmente novamente imediatamente.
Se esse valor não estiver configurado, um valor padrão de 4 será usado.
Um valor zero significa que o sistema operacional não permitirá que os usuários padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | StandardUserAuthorizationFailureIndividualThreshold_Name |
| Nome Amigável | Limite de bloqueio individual do usuário padrão |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Tpm |
| Nome do Valor do Registro | StandardUserAuthorizationFailureIndividualThreshold |
| Nome do Arquivo ADMX | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
Essa configuração de política permite gerenciar o número máximo de falhas de autorização para todos os usuários padrão do TPM (Trusted Platform Module). Se o número total de falhas de autorização para todos os usuários padrão dentro da duração da Duração Padrão de Bloqueio de Usuário for igual a esse valor, todos os usuários padrão serão impedidos de enviar comandos para o TPM (Trusted Platform Module) que exigem autorização.
Essa configuração ajuda os administradores a impedir que o hardware do TPM insira um modo de bloqueio porque reduz a velocidade que os usuários padrão podem enviar comandos que exigem autorização para o TPM.
Uma falha de autorização ocorre sempre que um usuário padrão envia um comando para o TPM e recebe uma resposta de erro indicando que ocorreu uma falha de autorização. Falhas de autorização mais antigas que a duração são ignoradas.
Para cada usuário padrão, dois limites se aplicam. Exceder qualquer limite impedirá que o usuário padrão envie um comando para o TPM que requer autorização.
O valor de Bloqueio Individual do Usuário Padrão é o número máximo de falhas de autorização que cada usuário padrão pode ter antes que o usuário não tenha permissão para enviar comandos que exigem autorização para o TPM.
Esse valor é o número total máximo de falhas de autorização que todos os usuários padrão podem ter antes que todos os usuários padrão não tenham permissão para enviar comandos que exigem autorização para o TPM.
O TPM foi projetado para se proteger contra ataques de adivinhação de senha inserindo um modo de bloqueio de hardware quando recebe muitos comandos com um valor de autorização incorreto. Quando o TPM entra em um modo de bloqueio, ele é global para todos os usuários, incluindo administradores e recursos do Windows, como o BitLocker Drive Encryption. O número de falhas de autorização que um TPM permite e quanto tempo ele permanece bloqueado variam de acordo com o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos sucessivamente mais longos com menos falhas de autorização, dependendo de falhas passadas. Alguns TPMs podem exigir uma reinicialização do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema esteja ligado para que ciclos de relógio suficientes se decorridos antes que o TPM saia do modo de bloqueio.
Um administrador com a senha do proprietário do TPM pode redefinir totalmente a lógica de bloqueio de hardware do TPM usando o Console de Gerenciamento do TPM (tpm.msc). Sempre que um administrador redefine a lógica de bloqueio de hardware do TPM, todas as falhas de autorização de TPM padrão anteriores são ignoradas; permitindo que os usuários padrão usem o TPM normalmente novamente imediatamente.
Se esse valor não estiver configurado, um valor padrão de 9 será usado.
Um valor zero significa que o sistema operacional não permitirá que os usuários padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | StandardUserAuthorizationFailureTotalThreshold_Name |
| Nome Amigável | Limite total de bloqueio do usuário padrão |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Tpm |
| Nome do Valor do Registro | StandardUserAuthorizationFailureTotalThreshold |
| Nome do Arquivo ADMX | TPM.admx |
UseLegacyDAP_Name
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
Essa configuração de política configura o TPM para usar os Parâmetros de Prevenção de Ataque do Dicionário (limite de bloqueio e tempo de recuperação) para os valores que foram usados para Windows 10 Versão 1607 e abaixo. Definir essa política só entrará em vigor se a) o TPM foi originalmente preparado usando uma versão do Windows após Windows 10 Versão 1607 e b) o Sistema tem um TPM 2.0. Observe que habilitar essa política só entrará em vigor após a execução da tarefa de manutenção do TPM (que normalmente acontece após uma reinicialização do sistema). Depois que essa política tiver sido habilitada em um sistema e entrar em vigor (após uma reinicialização do sistema), desativá-la não terá impacto e o TPM do sistema permanecerá configurado usando os parâmetros herdados de Prevenção de Ataque do Dicionário, independentemente do valor dessa política de grupo. A única maneira de a configuração desabilitada dessa política entrar em vigor em um sistema em que ela já foi habilitada é a) desabilitá-la da política de grupo e b)limpar o TPM no sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | UseLegacyDAP_Name |
| Nome Amigável | Configure o sistema para usar a configuração de Parâmetros de Prevenção de Ataque do Dicionário herdado para TPM 2.0. |
| Localização | Configuração do Computador |
| Caminho | Serviços de Módulo de Plataforma Confiável do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\TPM |
| Nome do Valor do Registro | UseLegacyDictionaryAttackParameters |
| Nome do Arquivo ADMX | TPM.admx |
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários