TPM 组策略设置

本主题介绍可使用组策略设置集中控制的受信任的平台模块 (TPM) 服务。 TPM 服务的组策略设置位于计算机配置>管理模板>系统>受信任的平台模块服务下。

配置可用于操作系统的 TPM 所有者授权信息的级别

重要提示

从 Windows 10 版本 1703 开始,默认值为 5。 此值在预配期间实现,以便另一个 Windows 组件可以删除它或获取其所有权,具体取决于系统配置。 对于 TPM 2.0,值为 5 表示保留锁定授权。 对于 TPM 1.2,这意味着放弃完整的 TPM 所有者授权,只保留委托的授权。

此策略设置配置了哪些 TPM 授权值存储在本地计算机的注册表中。 为了允许 Windows 执行某些操作,需要某些授权值。

TPM 1.2 值 TPM 2.0 值 用途 保持在级别 0? 保持在 2 级? 保持在 4 级?
OwnerAuthAdmin StorageOwnerAuth 创建 SRK
OwnerAuthEndorsement 认可身份验证 仅创建或使用 EK (1.2:创建 AIK)
OwnerAuthFull LockoutAuth 重置/更改字典攻击防护

有三个 TPM 所有者身份验证设置由 Windows 操作系统管理。 可以选择值“Full”、“Delegate”“None”。

  • 完整:此设置在本地注册表中存储完整的 TPM 所有者授权、TPM 管理委派 Blob 和 TPM 用户委派 Blob。 使用此设置,无需远程或外部存储 TPM 所有者授权值即可使用 TPM。 此设置适用于不需要重置 TPM 反锤逻辑或更改 TPM 所有者授权值的方案。 某些基于 TPM 的应用程序可能需要先更改此设置,然后才能使用依赖于 TPM 反锤逻辑的功能。 TPM 1.2 中的完全所有者授权类似于 TPM 2.0 中的锁定授权。 所有者授权对 TPM 2.0 有不同的含义。

  • 委托:此设置仅在本地注册表中存储 TPM 管理委派 Blob 和 TPM 用户委派 Blob。 此设置适用于依赖于 TPM 反锤逻辑的基于 TPM 的应用程序。 这是版本 1703 之前的 Windows 中的默认设置。

  • :此设置提供与以前的操作系统和应用程序的兼容性。 还可以将其用于无法在本地存储 TPM 所有者授权的方案。 使用此设置可能会导致某些基于 TPM 的应用程序出现问题。

注意

如果操作系统托管的 TPM 身份验证设置从 “完全 ”更改为“ 委托”,则会重新生成完整的 TPM 所有者授权值,并且以前设置的 TPM 所有者授权值的任何副本都将无效。

注册表信息

注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

下表显示了注册表中的 TPM 所有者授权值。

值数据 设置
0
2 委托
4 完整

如果启用此策略设置,Windows 操作系统将根据所选的 TPM 身份验证设置,将 TPM 所有者授权存储在本地计算机的注册表中。

在版本 1607 之前的Windows 10,如果禁用或未配置此策略设置,并且禁用或未配置启用 TPM 备份以Active Directory 域服务策略设置,则默认设置是在本地注册表中存储完整的 TPM 授权值。 如果禁用或未配置此策略,并且启用了“启用 TPM 备份以Active Directory 域服务策略设置”,则只有管理委派和用户委派 Blob 存储在本地注册表中。

标准用户锁定持续时间

此策略设置允许管理受信任平台模块的标准用户授权失败计数的持续时间(以分钟为单位), (TPM) 需要授权的命令。 每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 将忽略早于所设置持续时间的授权失败。 如果在锁定持续时间内授权失败的 TPM 命令数等于阈值,则阻止标准用户向 TPM 发送需要授权的命令。

TPM 旨在通过进入硬件锁定模式来保护自身免受密码猜测攻击,当它收到过多的授权值不正确的命令时,它就进入了硬件锁定模式。 当 TPM 进入锁定模式时,它对于所有用户 ((包括管理员) )和 Windows 功能(如 BitLocker 驱动器加密)是全局的。

此设置可帮助管理员通过降低标准用户可以向 TPM 发送需要授权的命令的速度,防止 TPM 硬件进入锁定模式。

对于每个标准用户,应用两个阈值。 超过任一阈值会阻止用户向 TPM 发送需要授权的命令。 使用以下策略设置设置锁定持续时间:

  • 标准用户个人锁定阈值:此值是每个标准用户在不允许用户向 TPM 发送需要授权的命令之前可能具有的最大授权失败次数。
  • 标准用户总锁定阈值:此值是不允许所有标准用户向 TPM 发送需要授权的命令之前,所有标准用户可以拥有的最大授权失败次数。

具有 TPM 所有者密码的管理员可以使用Windows Defender安全中心完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前的所有标准用户 TPM 授权失败。 这允许标准用户立即正常使用 TPM。

如果未配置此策略设置,则使用默认值 480 分钟 (8 小时) 。

标准用户个人锁定阈值

通过此策略设置,可以管理受信任的平台模块 (TPM) 的每个标准用户的最大授权失败次数。 此值是每个标准用户在不允许用户向 TPM 发送需要授权的命令之前可能具有的最大授权失败次数。 如果为 标准用户锁定 持续时间策略设置设置设置的持续时间内用户的授权失败次数等于此值,则阻止标准用户发送需要授权的命令到受信任的平台模块 (TPM) 。

此设置可帮助管理员通过降低标准用户可以向 TPM 发送需要授权的命令的速度,防止 TPM 硬件进入锁定模式。

每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过持续时间的授权失败将被忽略。

具有 TPM 所有者密码的管理员可以使用Windows Defender安全中心完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前的所有标准用户 TPM 授权失败。 这允许标准用户立即正常使用 TPM。

如果未配置此策略设置,则使用默认值 4。 值为零意味着操作系统不允许标准用户向 TPM 发送命令,这可能会导致授权失败。

标准用户总锁定阈值

通过此策略设置,可以管理受信任的平台模块 (TPM) 的所有标准用户的最大授权失败次数。 如果在为标准用户锁定持续时间策略设置的持续时间内所有 标准用户的 授权失败总数等于此值,则阻止所有标准用户发送需要授权的命令到受信任的平台模块 (TPM) 。

此设置可帮助管理员防止 TPM 硬件进入锁定模式,因为它会降低标准用户可以向 TPM 发送需要授权的命令的速度。

每当标准用户向 TPM 发送命令并收到指示授权失败的错误响应时,都会发生授权失败。 超过持续时间的授权失败将被忽略。

具有 TPM 所有者密码的管理员可以使用Windows Defender安全中心完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑时,都会忽略之前的所有标准用户 TPM 授权失败。 这允许标准用户立即正常使用 TPM。

如果未配置此策略设置,则使用默认值 9。 值为零意味着操作系统不允许标准用户向 TPM 发送命令,这可能会导致授权失败。

将系统配置为使用 TPM 2.0 的旧字典攻击防护参数设置

此策略设置在 Windows 10 版本 1703 中引入,将 TPM 配置为使用字典攻击防护参数 (锁定阈值和恢复时间,) 用于Windows 10版本 1607 及更低版本的值。

重要提示

只有在以下的情况下,设置此策略才会生效:

  • TPM 最初是在 Windows 10 版本 1607 之后使用 Windows 版本准备的
  • 系统具有 TPM 2.0。

注意

启用此策略仅在 TPM 维护任务运行后生效, (通常在系统重启) 后发生。 在系统上启用此策略并在系统重启) 后 (生效后,禁用该策略不会产生任何影响,并且无论此组策略的值如何,系统的 TPM 仍将使用旧版字典攻击防护参数进行配置。 此策略的禁用设置在启用该策略的系统上生效的唯一方法是:

  • 从组策略禁用它
  • 清除系统上的 TPM

Windows 安全中心中的 TPM 组策略设置

可以更改用户在Windows 安全中心中对 TPM 的看法。 Windows 安全中心 中 TPM 区域的组策略设置位于计算机配置>管理模板>Windows 组件>Windows 安全中心>设备安全性下。

禁用“清除 TPM”按钮

如果不希望用户能够单击Windows 安全中心中的“清除 TPM”按钮,可以使用此组策略设置将其禁用。 选择“ 已启用 ”,使“ 清除 TPM ”按钮不可用。

隐藏 TPM 固件更新建议

如果不希望用户看到更新 TPM 固件的建议,可以使用此设置将其禁用。 选择“ 启用 ”可阻止用户在检测到易受攻击的固件时看到更新其 TPM 固件的建议。