Параметры групповой политики TPM

В этом разделе для ИТ-специалистов описываются службы доверенного платформенного модуля (TPM), которыми можно централизованно управлять с помощью параметров групповой политики.

Параметры групповой политики служб TPM находятся в:

Конфигурация компьютера/Шаблоны администрирования/Система/Службы доверенного платформенного модуля

Параметр Windows 10 Windows Server 2012 R2, Windows 8.1 и Windows RT Windows Server 2012, Windows 8 и Windows RT Windows Server 2008 R2 и Windows 7 Windows Server 2008 и Windows Vista

Включить резервное копирование TPM в доменные службы Active Directory

X

X

X

X

X

Настройка списка заблокированных команд TPM

X

X

X

X

X

Игнорирование списка по умолчанию заблокированных команд TPM

X

X

X

X

X

Игнорирование локального списка заблокированных команд TPM

X

X

X

X

X

Настройка уровня сведений об авторизации владельца TPM, доступной операционной системе

X

X

X

Длительность блокировки обычных пользователей

X

X

X

Индивидуальный порог блокировки обычных пользователей

X

X

X

Общий порог блокировки обычных пользователей

X

X

X

 

Включить резервное копирование TPM в доменные службы Active Directory

Этот параметр политики позволяет управлять резервным копированием данных владельца TPM в доменные службы Active Directory (AD DS).

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Сведения о владельце TPM содержат хэш шифрования пароля владельца TPM. Некоторые команды TPM могут выполняться только владельцем модуля. Это хэш разрешает TPM выполнять эти команды.

Важно  

Для резервного копирования данных о владельце TPM с компьютеров с Windows 10, Windows 8.1 или Windows 8, возможно, потребуется сначала настроить соответствующие расширения схемы и параметры управления доступом в домене, чтобы успешно выполнить резервное копирование AD DS. Windows Server 2012 R2 и Windows Server 2012 включают необходимые расширения схемы по умолчанию. Дополнительные сведения см. в разделе Расширения схемы AD DS для поддержки резервного копирования TPM.

 

TPM нельзя использовать в целях предоставления расширенных функций безопасности для шифрования диска BitLocker и других приложений без первоначального назначения владельца. Для принятия во владение TPM с помощью пароля владельца на локальном компьютере в командной строке введите tpm.msc, чтобы открыть консоль управления доверенным платформенным модулем и выбрать действие Инициализировать TPM. В случае потери или недоступности сведений о владельце TPM возможно ограниченное управление TPM с помощью tpm.msc.

Если этот параметр политики включен, сведения о владельце TPM будут автоматически и незаметно для пользователя архивированы в AD DS при использовании Windows для установки или изменения пароля владельца TPM. После включения этого параметра политики пароль владельца TPM нельзя установить или изменить, пока компьютер не будет подключен к домену и не будет выполнена архивация AD DS.

Если отключить или не настроить этот параметр политики, сведения о владельце TPM не будут архивированы в AD DS.

Настройка списка заблокированных команд TPM

Этот параметр политики позволяет управлять списком групповой политики команд доверенного платформенного модуля (TPM), которые заблокированы Windows.

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Если включить этот параметр политики, Windows заблокирует отправку определенных команд в модуль TPM на компьютере. На команды TPM ссылаются по номеру команды. Например, команда номер 129 — это TPM_OwnerReadInternalPub, а команда номер 170 — это TPM_FieldUpgrade. Чтобы найти номер, соответствующий каждой команде доверенного платформенного модуля, введите tpm.msc в командной строке для открытия консоли управления модуля TPM и перейдите в раздел Управление командами.

Если этот параметр политики отключить или не настроить, то Windows сможет блокировать только те команды модуля TPM, которые указаны в списке по умолчанию или в локальном списке. Используемый по умолчанию список заблокированных команд TPM предустановлен в Windows.

  • Можно просмотреть список по умолчанию, введя tpm.msc в командной строке, перейдя в раздел Управление командами и сделав видимым столбец Список блокировки по умолчанию.

  • Локальный список заблокированных команд TPM настраивается вне групповой политики с помощью консоли управления доверенным платформенным модулем или сценариев, использующих интерфейс Win32_Tpm.

Соответствующие параметры политики для принудительного применения или игнорирования списка по умолчанию и локального списка заблокированных команд TPM см. в разделах:

  • "Игнорирование списка по умолчанию заблокированных команд TPM";

  • Игнорирование локального списка заблокированных команд TPM

"Игнорирование списка по умолчанию заблокированных команд TPM";

Этот параметр политики позволяет применять или игнорировать список заблокированных команд доверенного платформенного модуля (TPM), определенный по умолчанию.

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Используемый по умолчанию список заблокированных команд TPM предустановлен в Windows. Можно просмотреть список по умолчанию, введя tpm.msc в командной строке для открытия консоли управления TPM, перейдя в раздел Управление командами и сделав видимым столбец Список блокировки по умолчанию. См. также соответствующий параметр политики в разделе Настройка списка заблокированных команд TPM.

Если включить этот параметр политики, то операционная система Windows игнорирует список по умолчанию заблокированных команд TPM — будут блокированы только команды TPM, определенные групповой политикой или локальным списком.

Если этот параметр политики отключить или не настроить, Windows заблокирует команды TPM в списке по умолчанию в дополнение к командам, которые определены групповой политикой и локальным списком заблокированных команд TPM.

"Игнорирование локального списка заблокированных команд TPM";

Этот параметр политики позволяет принудительно применять или игнорировать локальный список заблокированных команд доверенного платформенного модуля (TPM).

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Локальный список заблокированных команд TPM настраивается вне групповой политики путем ввода tpm.msc в командной строке для открытия консоли управления доверенным платформенным модулем или сценариев, использующих интерфейс Win32_Tpm. (Используемый по умолчанию список заблокированных команд TPM предустановлен в Windows.) Соответствующий параметр политики см. в разделе Настройка списка заблокированных команд TPM.

Если включить этот параметр политики, то операционная система Windows игнорирует локальный список заблокированных команд TPM — будут блокированы только те команды TPM, которые определяются групповой политикой или списком по умолчанию.

Если этот параметр политики отключить или не настроить, Windows заблокирует команды TPM в локальном списке в дополнение к командам, которые определены групповой политикой и списком заблокированных команд TPM по умолчанию.

Настройка уровня сведений об авторизации владельца TPM, доступной операционной системе

Этот параметр политики определяет, сколько сведений об авторизации владельца TPM хранится в реестре локального компьютера. В зависимости от того, какая часть сведений об авторизации владельца TPM хранится локально, операционная система и приложения могут выполнять определенные действия доверенного платформенного модуля, требующие авторизации владельца TPM, без необходимости ввода пароля.

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Имеется три параметра проверки подлинности владельца TPM, управление которыми осуществляет операционная система Windows. Можно выбрать значение: Полный, Делегировано или Нет.

  • Полный.   Этот параметр сохраняет полную процедура авторизации владельца TPM, большие двоичные объекты делегирования административных полномочий и делегирования полномочий пользователя доверенного платформенного модуля в локальном реестре. Этот параметр позволяет использовать доверенный платформенный модуль без необходимости удаленного или внешнего хранения значения авторизации владельца TPM. Этот параметр полезен в сценариях, которые не зависят от запрета на сброс логики противодействия подбору паролей или изменение значения авторизации владельца TPM. Некоторые приложения на основе TPM могут потребовать смены этого параметра, прежде чем предоставить доступ к возможностям, зависящим от логики противодействия подбору паролей доверенного платформенного модуля.

  • Делегат.   Этот параметр сохраняет только большие двоичные объекты делегирования административных полномочий и делегирования полномочий пользователя доверенного платформенного модуля в локальном реестре. Этот параметр уместен для использования с приложениями на основе TPM, зависящими от логики противодействия подбору паролей доверенного платформенного модуля. При применении данного параметра рекомендуется использовать удаленное или внешнее хранилище значения авторизации владельца TPM (например, при резервном копировании значения в доменные службы Active Directory (AD DS)).

  • Нет.   Этот параметр обеспечивает совместимость с предыдущими операционными системами и приложениями. Его также можно использовать для сценариев, в которых значение авторизации владельца TPM нельзя хранить локально. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе TPM.

Примечание  

Если параметр проверки подлинности управляемого операционной системой TPM меняется с Полная на Делегировано, то значение авторизации владельца TPM будет восстановлено и все копии ранее установленного значения авторизации владельца TPM будут недействительны. При резервном копировании значения авторизации владельца TPM в AD DS новое значение авторизации владельца автоматически архивируется в AD DS после его изменения.

 

Данные реестра

Ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM

DWORD: OSManagedAuthLevel

В следующей таблице представлены значения авторизации владельца TPM в реестре.

Данные значения Параметр

0

Нет

2

Делегат

4

Полная

 

Если этот параметр политики включен, операционная система Windows сохранит сведения авторизации владельца TPM в реестре локального компьютера в соответствии с выбранным вами параметром проверки подлинности доверенного платформенного модуля.

Если отключить или не настраивать этот параметр политики, а также параметр политики Включить резервное копирование TPM в доменные службы Active Directory, то параметр по умолчанию должен сохранить значение полной авторизации TPM в локальном реестре. Если эта политика отключена или не настроена и действует параметр политики Включить резервное копирование TPM в доменные службы Active Directory, то в локальном реестре сохраняются только большие двоичные объекты делегирования административных полномочий и делегирования полномочий пользователя.

Длительность блокировки обычных пользователей

Этот параметр политики позволяет управлять длительностью подсчета ошибок авторизации обычного пользователя при выполнении команд доверенного платформенного модуля (TPM), требующих авторизации, в минутах. Ошибка авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенному модулю и получает ошибочный ответ, свидетельствующий о сбое авторизации. Ошибки авторизации, имевшие место ранее этого отрезка времени, игнорируются. Если число команд доверенного платформенного модуля с ошибкой авторизации за указанный отрезок времени достигает порога, обычному пользователю запрещается отправлять доверенному платформенному модулю команды, требующие авторизации.

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Доверенный платформенный модуль предусматривает средства самозащиты от атак угадывания пароля путем перехода в режим аппаратной блокировки при получении слишком большого числа команд с неверным значением авторизации. Когда доверенный платформенный модуль переходит в данный режим, блокировка является глобальной для всех пользователей, включая администраторов и компоненты Windows, такие как шифрование диска BitLocker.

Число ошибок авторизации, допускаемое доверенным платформенным модулем, а также время его блокировки различаются в зависимости от изготовителя доверенного платформенного модуля. Некоторые доверенные платформенные модули могут с учетом истории ошибок авторизации переходить в режим блокировки на все более длительные периоды времени при все меньшем числе ошибок. Некоторые доверенные платформенные модули могут потребовать перезагрузки системы для выхода из режима блокировки. Другие доверенные платформенные модули могут потребовать, чтобы система находилась во включенном состоянии до тех пор, пока не пройдет достаточное количество циклов синхронизации, прежде чем выйти из режима блокировки.

Благодаря этому параметру снижается скорость, с которой обычные пользователи могут отправлять доверенному платформенному модулю команды, требующие авторизации, что помогает администраторам предотвращать переход оборудования доверенного платформенного модуля в режим блокировки.

Для каждого обычного пользователя применяются два пороговых значения. Превышение любого из них приведет к тому, что обычному пользователю будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации. Используйте следующие параметры политики, чтобы установить длительность блокировки:

  • Индивидуальный порог блокировки обычных пользователей — это максимальное число ошибок авторизации, которое может допустить каждый обычный пользователь, прежде чем ему будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации.

  • Общий порог блокировки обычных пользователей — это максимальное число ошибок авторизации, которое могут допустить все обычные пользователи, прежде чем всем им будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки с помощью консоли управления доверенным платформенным модулем (tpm.msc). Каждый раз при сбросе администратором логики аппаратной блокировки доверенного платформенного модуля все предшествующие ошибки авторизации обычных пользователей игнорируются. Это позволяет обычным пользователям немедленно возвращаться к использованию доверенного платформенного модуля в обычном режиме.

Если это параметр политики не задан, по умолчанию используется значение 480 минут (8 часов).

Индивидуальный порог блокировки обычных пользователей

Этот параметр политики позволяет управлять максимальным числом ошибок авторизации каждого обычного пользователя доверенного платформенного модуля (TPM). Данное значение — это максимальное число ошибок авторизации, которое может допустить каждый обычный пользователь, прежде чем ему будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации. Если число ошибок авторизации пользователя за период, указанный в параметре политики Длительность блокировки обычных пользователей, достигает этого значения, обычному пользователю запрещается отправлять доверенному платформенному модулю (TPM) команды, требующие авторизации.

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Благодаря этому параметру снижается скорость, с которой обычные пользователи могут отправлять доверенному платформенному модулю команды, требующие авторизации, что помогает администраторам предотвращать переход оборудования доверенного платформенного модуля в режим блокировки.

Ошибка авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенному модулю и получает ошибочный ответ, свидетельствующий о сбое авторизации. Ошибки авторизации, имевшие место ранее указанного отрезка времени, игнорируются.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки с помощью консоли управления доверенным платформенным модулем (tpm.msc). Каждый раз при сбросе администратором логики аппаратной блокировки доверенного платформенного модуля все предшествующие ошибки авторизации обычных пользователей игнорируются. Это позволяет обычным пользователям немедленно возвращаться к использованию доверенного платформенного модуля в обычном режиме.

Если это параметр политики не задан, по умолчанию используется значение 4. Нулевое значение означает, что операционная система не позволит обычным пользователям отправлять команды модулю TPM, что может вызвать ошибки авторизации.

Общий порог блокировки обычных пользователей

Этот параметр политики позволяет изменить максимальное число ошибок авторизации всех обычных пользователей доверенного платформенного модуля (TPM). Если общее число ошибок авторизации всех обычных пользователей за период, указанный в параметре политики Длительность блокировки обычных пользователей, достигает этого значения, всем обычным пользователям запрещается отправлять доверенному платформенному модулю (TPM) команды, требующие авторизации.

Примечание  

Этот параметр политики относится к операционным системам Windows, перечисленным в таблице версий.

 

Благодаря этому параметру снижается скорость, с которой обычные пользователи могут отправлять доверенному платформенному модулю команды, требующие авторизации, что помогает администраторам предотвращать переход оборудования модуля TPM в режим блокировки.

Ошибка авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенному модулю и получает ошибочный ответ, свидетельствующий о сбое авторизации. Ошибки авторизации, имевшие место ранее указанного отрезка времени, игнорируются.

Для каждого обычного пользователя применяются два пороговых значения. Превышение любого из них приведет к тому, что обычному пользователю запрещается отправлять модулю TPM команды, требующие авторизации.

  1. Индивидуальный порог блокировки обычных пользователей — это максимальное число ошибок авторизации, которое может допустить каждый обычный пользователь, прежде чем ему будет запрещено отправлять модулю TPM команды, требующие авторизации.

  2. Общий порог блокировки обычных пользователей — это максимальное число ошибок авторизации, которое могут допустить все обычные пользователи, прежде чем всем им будет запрещено отправлять модулю TPM команды, требующие авторизации.

Доверенный платформенный модуль предусматривает средства самозащиты от атак угадывания пароля путем перехода в режим аппаратной блокировки при получении слишком большого числа команд с неверным значением авторизации. Когда доверенный платформенный модуль переходит в данный режим, блокировка является глобальной для всех пользователей, включая администраторов и компоненты Windows, такие как шифрование диска BitLocker.

Число ошибок авторизации, допускаемое модулем TPM, а также время его блокировки различаются в зависимости от изготовителя доверенного платформенного модуля. Некоторые доверенные платформенные модули могут с учетом истории ошибок авторизации переходить в режим блокировки на все более длительные периоды времени при все меньшем числе ошибок. Некоторые доверенные платформенные модули могут потребовать перезагрузки системы для выхода из режима блокировки. Другие модули TPM могут потребовать, чтобы система находилась во включенном состоянии до тех пор, пока не пройдет достаточное количество циклов синхронизации, прежде чем выйти из режима блокировки.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки с помощью консоли управления доверенным платформенным модулем (tpm.msc). Каждый раз при сбросе администратором логики аппаратной блокировки доверенного платформенного модуля все предшествующие ошибки авторизации обычных пользователей игнорируются. Это позволяет обычным пользователям немедленно возвращаться к использованию доверенного платформенного модуля в обычном режиме.

Если это параметр политики не задан, по умолчанию используется значение 9. Нулевое значение означает, что операционная система не позволит обычным пользователям отправлять команды модулю TPM, что может вызвать ошибки авторизации.

Дополнительные ресурсы

Обзор технологии доверенного платформенного модуля

Командлеты TPM в Windows PowerShell

Подготовка организации к использованию BitLocker: планирование и политики — конфигурации модуля TPM