管理 TPM 命令

本文面向 IT 专业人员介绍如何管理哪些受信任的平台模块 (TPM) 命令可供域用户和本地用户使用。

计算机用户获取 TPM 的所有权后，TPM 所有者可以通过创建阻止的 TPM 命令列表来限制可以运行的 TPM 命令。 可以使用 组策略 创建列表并将其应用于域中的所有计算机，也可以使用 TPM MMC 为单个计算机创建列表。 由于某些硬件供应商可能会提供更多命令，或者受信任的计算组可能决定在将来添加命令，因此 TPM MMC 还支持阻止新命令的功能。

以下过程介绍如何管理 TPM 命令列表。 必须是本地管理员组的成员。

使用本地组策略 编辑器阻止 TPM 命令

1. 打开本地组策略 编辑器 (gpedit.msc) 。 如果出现“ 用户帐户控制 ”对话框，请确认其显示的作是所需作，然后选择“ 是”。

   注意

   在域中具有适当权限的管理员可以配置可通过Active Directory 域服务 (AD DS) 应用的 组策略 对象 (GPO) 。

2. 在控制台树的“ 计算机配置”下，展开“ 管理模板”，然后展开“ 系统”。

3. 在 “系统”下，选择“ 受信任的平台模块服务”。

4. 在详细信息窗格中，双击“ 配置阻止的 TPM 命令列表”。

5. 选择 “已启用”，然后选择“ 显示”。

6. 对于要阻止的每个命令，请选择“ 添加”，输入命令编号，然后选择“ 确定”。

   注意

   有关命令的列表，请参阅 TPM 规范中的链接。

7. 为要阻止的每个命令添加数字后，选择 “确定” 两次。

8. 关闭本地组策略 编辑器。

使用 TPM MMC 阻止或允许 TPM 命令

1. 打开 TPM MMC (tpm.msc) 。 如果出现“ 用户帐户控制 ”对话框，请确认其显示的作是所需作，然后选择“ 是”。
2. 在控制台树中，选择“ 命令管理”。 将显示 TPM 命令的列表。
3. 在列表中，选择要阻止或允许的命令。
4. 在“作”下，根据需要选择“阻止所选命令”或“允许所选命令”。 如果“允许所选命令”不可用，则组策略当前阻止该命令。

阻止新命令

1. 打开 TPM MMC (tpm.msc) 。 如果出现“ 用户帐户控制 ”对话框，请确认其显示的作是所需作，然后选择“ 是”。
2. 在控制台树中，选择“ 命令管理”。 将显示 TPM 命令的列表。
3. 在“ 作 ”窗格中，选择“ 阻止新建命令”。 将显示“ 阻止新命令 ”对话框。
4. 在 “命令编号 ”文本框中，键入要阻止的新命令的编号，然后选择“ 确定”。 输入的命令编号将添加到阻止列表中。

使用 TPM cmdlet

可以使用 Windows PowerShell 管理 TPM。 有关详细信息，请参阅 TrustedPlatformModule PowerShell cmdlet。