Параметры групповой политики доверенного платформенного модуля
В этом разделе описаны службы доверенного платформенного модуля (TPM), которыми можно централизованно управлять с помощью параметров групповая политика. Параметры групповая политика для служб доверенного платформенного модуля находятся в разделе Конфигурация компьютера>Административные шаблоны>Службы>доверенных платформенных модулей.
Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных операционной системе
Важно.
Начиная с Windows 10 версии 1703 значение по умолчанию — 5. Это значение реализуется во время подготовки, чтобы другой компонент Windows может либо удалить его, либо взять на себя ответственность за него в зависимости от конфигурации системы. Для TPM 2.0 значение 5 означает сохранение авторизации блокировки. Для TPM 1.2 это означает отмену полной авторизации владельца доверенного платформенного модуля и сохранение только делегированной авторизации.
Этот параметр политики настраивает, какие значения авторизации доверенного платформенного модуля хранятся в реестре локального компьютера. Чтобы разрешить Windows выполнять определенные действия, требуются определенные значения авторизации.
| Значение TPM 1.2 | Значение TPM 2.0 | Описание | Держится на уровне 0? | Держится на уровне 2? | Держится на уровне 4? |
|---|---|---|---|---|---|
| OwnerAuthAdmin | StorageOwnerAuth | Создание SRK | Нет | Да | Да |
| OwnerAuthEndorsement | ПодтверждениеAuth | Создание или использование EK (только 1.2: Создание AIK) | Нет | Да | Да |
| OwnerAuthFull | LockoutAuth | Сброс и изменение защиты от атак словаря | Нет | Нет | Да |
Существует три параметра проверки подлинности владельца доверенного платформенного модуля, которые управляются операционной системой Windows. Можно выбрать значение Full, Delegate или None.
Полное. Этот параметр сохраняет полную авторизацию владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля в локальном реестре. С помощью этого параметра можно использовать TPM, не требуя удаленного или внешнего хранилища значения авторизации владельца доверенного платформенного модуля. Этот параметр подходит для сценариев, в которых не требуется сбрасывать логику защиты от молотка доверенного платформенного модуля или изменять значение авторизации владельца доверенного платформенного модуля. Для некоторых приложений на основе доверенного платформенного модуля может потребоваться изменить этот параметр, прежде чем можно будет использовать функции, зависящие от логики защиты доверенного платформенного модуля. Полная авторизация владельца в TPM 1.2 аналогична авторизации блокировки в TPM 2.0. Авторизация владельца имеет другое значение для TPM 2.0.
Делегировано. Этот параметр сохраняет в локальном реестре только большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля. Этот параметр подходит для использования с приложениями на основе доверенного платформенного модуля, которые зависят от логики защиты от применения модуля TPM. Это параметр по умолчанию в Windows до версии 1703.
Нет. Этот параметр обеспечивает совместимость с предыдущими операционными системами и приложениями. Его также можно использовать в сценариях, когда авторизация владельца доверенного платформенного модуля не может храниться локально. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе доверенного платформенного модуля.
Примечание.
Если параметр проверки подлинности доверенного платформенного модуля, управляемого операционной системой, изменен с "Полный " на "Делегировано", то значение авторизации владельца доверенного платформенного модуля будет повторно создано, а все копии ранее заданного значения авторизации владельца доверенного платформенного модуля будут недопустимыми.
Сведения о реестре
Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel
В следующей таблице показаны значения авторизации владельца доверенного платформенного модуля в реестре.
| Данные о значении | Параметр |
|---|---|
| 0 | Нет |
| 2 | Делегированные |
| 4 | Полный |
Если этот параметр политики включен, операционная система Windows сохранит авторизацию владельца доверенного платформенного модуля в реестре локального компьютера в соответствии с выбранным параметром проверки подлинности доверенного платформенного модуля.
На Windows 10, предшествующих версии 1607, если этот параметр политики отключен или не настроен, а параметр политики Включить резервное копирование доверенного платформенного модуля в доменные службы Active Directory также отключен или не настроен, параметром по умолчанию является сохранение полного значения авторизации доверенного платформенного модуля в локальном реестре. Если эта политика отключена или не настроена, а параметр политики Включить резервное копирование доверенного платформенного модуля в доменные службы Active Directory включен, в локальном реестре сохраняются только административные делегирования и большие двоичные объекты делегирования пользователей.
Длительность блокировки стандартного пользователя
Этот параметр политики позволяет управлять длительностью в минутах для подсчета сбоев авторизации стандартного пользователя для команд доверенного платформенного модуля (TPM), требующих авторизации. Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации, которые старше заданной длительности, игнорируются. Если количество команд доверенного платформенного платформенного модуля со сбоем авторизации в течение длительности блокировки равно пороговой, стандартный пользователь не может отправлять команды, требующие авторизации, в доверенный платформенный модуль.
TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей (включая администраторов) и для таких функций Windows, как шифрование диска BitLocker.
Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, замедляя скорость, с которой обычные пользователи могут отправлять команды, требующие авторизации в TPM.
Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит пользователю отправить команду, требующую авторизации доверенному платформенного модуля. Используйте следующие параметры политики, чтобы задать длительность блокировки:
- Пороговое значение индивидуальной блокировки стандартного пользователя. Это значение представляет собой максимальное число сбоев авторизации, которое может иметь каждый стандартный пользователь, прежде чем пользователю не будет разрешено отправлять команды, требующие авторизации, доверенному платформенного модуля.
- Пороговое значение общего числа блокировок для обычных пользователей. Это значение представляет собой максимальное общее число сбоев авторизации, которые могут иметь все стандартные пользователи, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации в TPM.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью центра безопасности Защитник Windows. Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. Это позволяет обычным пользователям немедленно использовать TPM в обычном режиме.
Если этот параметр политики не настроен, используется значение по умолчанию 480 минут (8 часов).
Пороговое значение блокировки для отдельных пользователей категории "Стандартный"
Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для каждого стандартного пользователя для доверенного платформенного модуля (TPM). Это значение представляет собой максимальное число сбоев авторизации, которое может иметь каждый обычный пользователь, прежде чем пользователю не будет разрешено отправлять команды, требующие авторизации в TPM. Если это значение равно количеству сбоев авторизации для пользователя в течение длительности, заданной для параметра политики "Длительность блокировки стандартного пользователя ", стандартному пользователю не будет запрещена отправка команд, требующих авторизации, в доверенный платформенный модуль (TPM).
Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, замедляя скорость, с которой обычные пользователи могут отправлять команды, требующие авторизации в TPM.
Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью центра безопасности Защитник Windows. Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. Это позволяет обычным пользователям немедленно использовать TPM в обычном режиме.
Если этот параметр политики не настроен, используется значение по умолчанию 4. Нулевое значение означает, что операционная система не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.
Пороговое значение общего числа блокировок для обычных пользователей
Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для всех стандартных пользователей доверенного платформенного модуля (TPM). Если общее количество сбоев авторизации для всех стандартных пользователей в течение срока действия, установленного для политики продолжительности блокировки стандартного пользователя , равно этому значению, всем стандартным пользователям не разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль (TPM).
Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.
Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью центра безопасности Защитник Windows. Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. Это позволяет обычным пользователям немедленно использовать TPM в обычном режиме.
Если этот параметр политики не настроен, используется значение по умолчанию 9. Нулевое значение означает, что операционная система не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.
Настройка системы для использования устаревших параметров защиты от атак в словаре для TPM 2.0
Этот параметр политики, представленный в Windows 10 версии 1703, настраивает доверенный платформенный модуль на использование параметров защиты от атак в словаре (пороговое значение блокировки и время восстановления) для значений, которые использовались для Windows 10 версии 1607 и ниже.
Важно.
Установка этой политики вступит в силу только в том случае, если:
- TPM изначально был подготовлен с помощью версии Windows после Windows 10 версии 1607.
- В системе есть TPM 2.0.
Примечание.
Включение этой политики вступит в силу только после выполнения задачи обслуживания доверенного платформенного модуля (что обычно происходит после перезапуска системы). После включения этой политики в системе и ее применения (после перезапуска системы) ее отключение не повлияет, и доверенный платформенный модуль системы будет по-прежнему настроен с помощью устаревших параметров защиты от атак словаря, независимо от значения этой групповой политики. Единственными способами применения отключенного параметра этой политики в системе, в которой она была включена, являются следующие:
- Отключение из групповой политики
- Очистка доверенного платформенного модуля в системе
Параметры TPM групповая политика в Безопасность Windows
Вы можете изменить, что пользователи видят о TPM в Безопасность Windows. Параметры групповая политика для области TPM в Безопасность Windows находятся в разделеКонфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Безопасность Windows>Безопасность устройств.
Отключение кнопки "Очистить TPM"
Если вы не хотите, чтобы пользователи могли нажать кнопку Очистить TPM в Безопасность Windows, ее можно отключить с помощью этого параметра групповая политика. Выберите Включено , чтобы кнопка Очистить TPM недоступна для использования.
Скрыть рекомендацию по обновлению встроенного ПО доверенного платформенного модуля
Если вы не хотите, чтобы пользователи видели рекомендацию по обновлению встроенного ПО доверенного платформенного модуля, ее можно отключить с помощью этого параметра. Выберите Включено, чтобы пользователи не видели рекомендацию по обновлению встроенного ПО доверенного платформенного модуля при обнаружении уязвимого встроенного ПО.
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по