Partilhar via


CSP de Política - ADMX_TPM

Dica

Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).

O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.

BlockedCommandsList_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name

Esta definição de política permite-lhe gerir a lista de Políticas de Grupo de comandos TPM (Trusted Platform Module) bloqueados pelo Windows.

  • Se ativar esta definição de política, o Windows irá bloquear o envio dos comandos especificados para o TPM no computador. Os comandos TPM são referenciados por um número de comando. Por exemplo, o número de comando 129 é TPM_OwnerReadInternalPub e o número de comando 170 é TPM_FieldUpgrade. Para localizar o número de comando associado a cada comando TPM com o TPM 1.2, execute "tpm.msc" e navegue para a secção "Gestão de Comandos".

  • Se desativar ou não configurar esta definição de política, apenas os comandos TPM especificados através das listas predefinidas ou locais podem ser bloqueados pelo Windows. A lista predefinida de comandos TPM bloqueados está pré-configurada pelo Windows. Pode ver a lista predefinida ao executar "tpm.msc", navegar para a secção "Gestão de Comandos" e tornar visível a coluna "Na Lista de Blocos Predefinida". A lista local de comandos TPM bloqueados é configurada fora da Política de Grupo ao executar "tpm.msc" ou através de scripts na interface Win32_Tpm. Veja as definições de política relacionadas para impor ou ignorar as listas predefinidas e locais de comandos TPM bloqueados.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome BlockedCommandsList_Name
Nome Amigável Configurar a lista de comandos TPM bloqueados
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands
Nome do Valor do Registro Habilitado
Nome do Arquivo ADMX TPM.admx

ClearTPMIfNotReady_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name

Esta definição de política configura o sistema para pedir ao utilizador para limpar o TPM se for detetado que o TPM está num estado diferente de Pronto. Esta política só entrará em vigor se o TPM do sistema estiver num estado diferente de Pronto, incluindo se o TPM estiver "Pronto, com funcionalidade reduzida". O pedido para limpar o TPM começará a ocorrer após o próximo reinício, apenas após o início de sessão do utilizador se o utilizador com sessão iniciada fizer parte do grupo Administradores do sistema. O pedido pode ser dispensado, mas voltará a aparecer após cada reinício e início de sessão até que a política seja desativada ou até o TPM estar no estado Pronto.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome ClearTPMIfNotReady_Name
Nome Amigável Configure o sistema para limpar o TPM se não estiver num estado pronto.
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\TPM
Nome do Valor do Registro ClearTPMIfNotReadyGP
Nome do Arquivo ADMX TPM.admx

IgnoreDefaultList_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name

Esta definição de política permite-lhe impor ou ignorar a lista predefinida do computador de comandos TPM (Trusted Platform Module) bloqueados.

  • Se ativar esta definição de política, o Windows ignorará a lista predefinida do computador de comandos TPM bloqueados e bloqueará apenas esses comandos TPM especificados pela Política de Grupo ou pela lista local.

A lista predefinida de comandos TPM bloqueados está pré-configurada pelo Windows. Pode ver a lista predefinida ao executar "tpm.msc", navegar para a secção "Gestão de Comandos" e tornar visível a coluna "Na Lista de Blocos Predefinida". A lista local de comandos TPM bloqueados é configurada fora da Política de Grupo ao executar "tpm.msc" ou através de scripts na interface Win32_Tpm. Veja a definição de política relacionada para configurar a lista de Políticas de Grupo de comandos TPM bloqueados.

  • Se desativar ou não configurar esta definição de política, o Windows bloqueará os comandos TPM na lista predefinida, além dos comandos na Política de Grupo e listas locais de comandos TPM bloqueados.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome IgnoreDefaultList_Name
Nome Amigável Ignorar a lista predefinida de comandos TPM bloqueados
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\TPM\BlockedCommands
Nome do Valor do Registro IgnoreDefaultList
Nome do Arquivo ADMX TPM.admx

IgnoreLocalList_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name

Esta definição de política permite-lhe impor ou ignorar a lista local do computador de comandos TPM (Trusted Platform Module) bloqueados.

  • Se ativar esta definição de política, o Windows ignorará a lista local do computador de comandos TPM bloqueados e bloqueará apenas esses comandos TPM especificados pela Política de Grupo ou pela lista predefinida.

A lista local de comandos TPM bloqueados é configurada fora da Política de Grupo ao executar "tpm.msc" ou através de scripts na interface Win32_Tpm. A lista predefinida de comandos TPM bloqueados está pré-configurada pelo Windows. Veja a definição de política relacionada para configurar a lista de Políticas de Grupo de comandos TPM bloqueados.

  • Se desativar ou não configurar esta definição de política, o Windows bloqueará os comandos TPM encontrados na lista local, além dos comandos na Política de Grupo e listas predefinidas de comandos TPM bloqueados.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome IgnoreLocalList_Name
Nome Amigável Ignorar a lista local de comandos TPM bloqueados
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\TPM\BlockedCommands
Nome do Valor do Registro IgnoreLocalList
Nome do Arquivo ADMX TPM.admx

OptIntoDSHA_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name

Esta política de grupo ativa os relatórios do Atestado de Estado de Funcionamento do Dispositivo (DHA-report) em dispositivos suportados. Permite que os dispositivos suportados enviem informações relacionadas com o Atestado de Estado de Funcionamento do Dispositivo (registos de arranque do dispositivo, valores PCR, certificado TPM, etc.) para o Serviço de Atestado de Estado de Funcionamento do Dispositivo (DHA-Service) sempre que um dispositivo é iniciado. O Serviço de Atestado de Estado de Funcionamento do Dispositivo valida o estado de funcionamento e o estado de funcionamento dos dispositivos e torna as conclusões acessíveis aos administradores da empresa através de um portal de relatórios baseado na cloud. Esta política é independente dos relatórios de DHA que são iniciados por soluções de gestão de dispositivos (como MDM ou SCCM) e não interferem com os fluxos de trabalho.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome OptIntoDSHA_Name
Nome Amigável Ativar a Monitorização e Os Relatórios do Atestado de Estado de Funcionamento do Dispositivo
Localização Configuração do Computador
Caminho Serviço de Atestado de Estado de Funcionamento do Dispositivo do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\DeviceHealthAttestationService
Nome do Valor do Registro EnableDeviceHealthAttestationService
Nome do Arquivo ADMX TPM.admx

OSManagedAuth_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name

Esta definição de política configura a quantidade de informações de autorização do proprietário do TPM armazenadas no registo do computador local. Dependendo da quantidade de informações de autorização do proprietário do TPM armazenadas localmente, o sistema operativo e as aplicações baseadas em TPM podem executar determinadas ações TPM que requerem autorização do proprietário do TPM sem que o utilizador introduza a palavra-passe do proprietário do TPM.

Pode optar por ter o sistema operativo armazenado o valor completo de autorização do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM ou nenhum.

Se ativar esta definição de política, o Windows armazenará a autorização do proprietário do TPM no registo do computador local de acordo com a definição de autenticação TPM gerida pelo sistema operativo que escolher.

Escolha a definição de autenticação TPM gerida pelo sistema operativo "Completa" para armazenar a autorização completa do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM no registo local. Esta definição permite a utilização do TPM sem que seja necessário armazenamento remoto ou externo do valor de autorização do proprietário do TPM. Esta definição é adequada para cenários que não dependem da prevenção da reposição da lógica anti-martelada do TPM ou da alteração do valor de autorização do proprietário do TPM. Algumas aplicações baseadas em TPM podem exigir que esta definição seja alterada antes de as funcionalidades que dependem da lógica anti-martelada do TPM poderem ser utilizadas.

Escolha a definição de autenticação TPM gerida pelo sistema operativo "Delegado" para armazenar apenas o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM no registo local. Esta definição é adequada para utilização com aplicações baseadas em TPM que dependem da lógica anti-martelada do TPM.

Escolha a definição de autenticação TPM gerida pelo sistema operativo "Nenhum" para compatibilidade com sistemas operativos e aplicações anteriores ou para utilizar com cenários que exijam autorização do proprietário do TPM que não sejam armazenados localmente. A utilização desta definição pode causar problemas em algumas aplicações baseadas em TPM.

Observação

Se a definição de autenticação TPM gerida pelo sistema operativo for alterada de "Completo" para "Delegado", o valor completo de autorização do proprietário do TPM será regenerado e quaisquer cópias do valor de autorização do proprietário do TPM original serão inválidas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome OSManagedAuth_Name
Nome Amigável Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operativo
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\TPM
Nome do Arquivo ADMX TPM.admx

StandardUserAuthorizationFailureDuration_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name

Esta definição de política permite-lhe gerir a duração em minutos para contar falhas de autorização de utilizador padrão para comandos TPM (Trusted Platform Module) que requerem autorização. Se o número de comandos TPM com uma falha de autorização dentro da duração for igual a um limiar, um utilizador padrão será impedido de enviar comandos que exijam autorização para o TPM.

Esta definição ajuda os administradores a impedir que o hardware TPM entre num modo de bloqueio, uma vez que atrasa a velocidade padrão que os utilizadores podem enviar comandos que requerem autorização para o TPM.

Ocorre uma falha de autorização sempre que um utilizador padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização anteriores a esta duração são ignoradas.

Para cada utilizador padrão, aplicam-se dois limiares. Exceder qualquer um dos limiares impedirá o utilizador padrão de enviar um comando para o TPM que requer autorização.

O valor Individual do Limiar de Bloqueio de Utilizador Padrão é o número máximo de falhas de autorização que cada utilizador padrão pode ter antes de o utilizador não ter permissão para enviar comandos que exijam autorização para o TPM.

O valor Limiar Total de Bloqueio de Utilizador Padrão é o número total máximo de falhas de autorização que todos os utilizadores padrão podem ter antes de todos os utilizadores padrão não poderem enviar comandos que exijam autorização para o TPM.

O TPM foi concebido para se proteger contra ataques de adivinhação de palavras-passe ao entrar no modo de bloqueio de hardware quando recebe demasiados comandos com um valor de autorização incorreto. Quando o TPM entra num modo de bloqueio, é global para todos os utilizadores, incluindo administradores e funcionalidades do Windows, como a Encriptação de Unidade BitLocker. O número de falhas de autorização que um TPM permite e quanto tempo permanece bloqueado variam consoante o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos de tempo sucessivamente mais longos, com menos falhas de autorização, dependendo de falhas anteriores. Alguns TPMs podem exigir um reinício do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema esteja ligado para que decorram ciclos de relógio suficientes antes de o TPM sair do modo de bloqueio.

Um administrador com a palavra-passe de proprietário do TPM pode repor totalmente a lógica de bloqueio de hardware do TPM com a Consola de Gestão do TPM (tpm.msc). Sempre que um administrador repõe a lógica de bloqueio de hardware do TPM, todas as falhas de autorização do TPM padrão anteriores são ignoradas; permitir que os utilizadores padrão utilizem o TPM normalmente novamente imediatamente.

Se este valor não estiver configurado, é utilizado um valor predefinido de 480 minutos (8 horas).

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome StandardUserAuthorizationFailureDuration_Name
Nome Amigável Duração Padrão do Bloqueio do Utilizador
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Tpm
Nome do Valor do Registro StandardUserAuthorizationFailureDuration
Nome do Arquivo ADMX TPM.admx

StandardUserAuthorizationFailureIndividualThreshold_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name

Esta definição de política permite-lhe gerir o número máximo de falhas de autorização para cada utilizador padrão para o Trusted Platform Module (TPM). Se o número de falhas de autorização para o utilizador durante a Duração Padrão do Bloqueio de Utilizador for igual a este valor, o utilizador padrão será impedido de enviar comandos para o Trusted Platform Module (TPM) que requerem autorização.

Esta definição ajuda os administradores a impedir que o hardware TPM entre num modo de bloqueio, uma vez que atrasa a velocidade padrão que os utilizadores podem enviar comandos que requerem autorização para o TPM.

Ocorre uma falha de autorização sempre que um utilizador padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização anteriores à duração são ignoradas.

Para cada utilizador padrão, aplicam-se dois limiares. Exceder qualquer um dos limiares impedirá o utilizador padrão de enviar um comando para o TPM que requer autorização.

Este valor é o número máximo de falhas de autorização que cada utilizador padrão pode ter antes de o utilizador não poder enviar comandos que exijam autorização para o TPM.

O valor Limiar Total de Bloqueio de Utilizador Padrão é o número total máximo de falhas de autorização que todos os utilizadores padrão podem ter antes de todos os utilizadores padrão não poderem enviar comandos que exijam autorização para o TPM.

O TPM foi concebido para se proteger contra ataques de adivinhação de palavras-passe ao entrar no modo de bloqueio de hardware quando recebe demasiados comandos com um valor de autorização incorreto. Quando o TPM entra num modo de bloqueio, é global para todos os utilizadores, incluindo administradores e funcionalidades do Windows, como a Encriptação de Unidade BitLocker. O número de falhas de autorização que um TPM permite e quanto tempo permanece bloqueado variam consoante o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos de tempo sucessivamente mais longos, com menos falhas de autorização, dependendo de falhas anteriores. Alguns TPMs podem exigir um reinício do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema esteja ligado para que decorram ciclos de relógio suficientes antes de o TPM sair do modo de bloqueio.

Um administrador com a palavra-passe de proprietário do TPM pode repor totalmente a lógica de bloqueio de hardware do TPM com a Consola de Gestão do TPM (tpm.msc). Sempre que um administrador repõe a lógica de bloqueio de hardware do TPM, todas as falhas de autorização do TPM padrão anteriores são ignoradas; permitir que os utilizadores padrão utilizem o TPM normalmente novamente imediatamente.

Se este valor não estiver configurado, é utilizado um valor predefinido de 4.

Um valor de zero significa que o SO não permitirá que os utilizadores padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome StandardUserAuthorizationFailureIndividualThreshold_Name
Nome Amigável Limiar de Bloqueio Individual do Utilizador Padrão
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Tpm
Nome do Valor do Registro StandardUserAuthorizationFailureIndividualThreshold
Nome do Arquivo ADMX TPM.admx

StandardUserAuthorizationFailureTotalThreshold_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name

Esta definição de política permite-lhe gerir o número máximo de falhas de autorização para todos os utilizadores padrão para o Trusted Platform Module (TPM). Se o número total de falhas de autorização para todos os utilizadores padrão durante a Duração Padrão do Bloqueio de Utilizador for igual a este valor, todos os utilizadores padrão serão impedidos de enviar comandos para o Trusted Platform Module (TPM) que requerem autorização.

Esta definição ajuda os administradores a impedir que o hardware TPM entre num modo de bloqueio, uma vez que atrasa a velocidade padrão que os utilizadores podem enviar comandos que requerem autorização para o TPM.

Ocorre uma falha de autorização sempre que um utilizador padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização anteriores à duração são ignoradas.

Para cada utilizador padrão, aplicam-se dois limiares. Exceder qualquer um dos limiares impedirá o utilizador padrão de enviar um comando para o TPM que requer autorização.

O valor de Bloqueio Individual do Utilizador Padrão é o número máximo de falhas de autorização que cada utilizador padrão pode ter antes de o utilizador não ter permissão para enviar comandos que exijam autorização para o TPM.

Este valor é o número total máximo de falhas de autorização que todos os utilizadores padrão podem ter antes de todos os utilizadores padrão não poderem enviar comandos que exijam autorização para o TPM.

O TPM foi concebido para se proteger contra ataques de adivinhação de palavras-passe ao entrar no modo de bloqueio de hardware quando recebe demasiados comandos com um valor de autorização incorreto. Quando o TPM entra num modo de bloqueio, é global para todos os utilizadores, incluindo administradores e funcionalidades do Windows, como a Encriptação de Unidade BitLocker. O número de falhas de autorização que um TPM permite e quanto tempo permanece bloqueado variam consoante o fabricante do TPM. Alguns TPMs podem entrar no modo de bloqueio por períodos de tempo sucessivamente mais longos, com menos falhas de autorização, dependendo de falhas anteriores. Alguns TPMs podem exigir um reinício do sistema para sair do modo de bloqueio. Outros TPMs podem exigir que o sistema esteja ligado para que decorram ciclos de relógio suficientes antes de o TPM sair do modo de bloqueio.

Um administrador com a palavra-passe de proprietário do TPM pode repor totalmente a lógica de bloqueio de hardware do TPM com a Consola de Gestão do TPM (tpm.msc). Sempre que um administrador repõe a lógica de bloqueio de hardware do TPM, todas as falhas de autorização do TPM padrão anteriores são ignoradas; permitir que os utilizadores padrão utilizem o TPM normalmente novamente imediatamente.

Se este valor não estiver configurado, é utilizado um valor predefinido de 9.

Um valor de zero significa que o SO não permitirá que os utilizadores padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome StandardUserAuthorizationFailureTotalThreshold_Name
Nome Amigável Limiar de Bloqueio Total do Utilizador Padrão
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Tpm
Nome do Valor do Registro StandardUserAuthorizationFailureTotalThreshold
Nome do Arquivo ADMX TPM.admx

UseLegacyDAP_Name

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name

Esta definição de política configura o TPM para utilizar os Parâmetros de Prevenção de Ataques do Dicionário (limiar de bloqueio e tempo de recuperação) para os valores que foram utilizados para o Windows 10 Versão 1607 e abaixo. Definir esta política só entrará em vigor se a) o TPM tiver sido originalmente preparado com uma versão do Windows após o Windows 10 Versão 1607 e b) o Sistema tiver um TPM 2.0. Tenha em atenção que a ativação desta política só entrará em vigor após a execução da tarefa de manutenção do TPM (o que normalmente acontece após um reinício do sistema). Assim que esta política tiver sido ativada num sistema e tiver sido aplicada (após um reinício do sistema), a sua desativação não terá qualquer impacto e o TPM do sistema permanecerá configurado com os parâmetros de Prevenção de Ataques de Dicionário legados, independentemente do valor desta política de grupo. A única forma de a definição desativada desta política entrar em vigor num sistema em que foi ativada é a) desativá-la da política de grupo e b)limpar o TPM no sistema.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome UseLegacyDAP_Name
Nome Amigável Configure o sistema para utilizar a definição Parâmetros de Prevenção de Ataques de Dicionário legados para o TPM 2.0.
Localização Configuração do Computador
Caminho Serviços de Módulos de Plataforma Fidedigna do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\TPM
Nome do Valor do Registro UtilizarLegacyDictionaryAttackParameters
Nome do Arquivo ADMX TPM.admx

Provedor de serviço da configuração de política