管理 TPM 命令

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文適用於 IT 專業人員，說明如何管理哪些信賴平臺模組 (TPM) 命令可供網域使用者和本機使用者使用。

計算機使用者取得 TPM 的擁有權之後，TPM 擁有者可以藉由建立封鎖的 TPM 命令清單來限制可執行的 TPM 命令。 您可以使用組策略來建立清單並套用至網域中的所有計算機，也可以使用 TPM MMC 為個別電腦建立清單。 由於某些硬體廠商可能會提供更多命令，或信賴運算群組可能會決定在未來新增命令，因此 TPM MMC 也支持封鎖新命令的功能。

下列程序說明如何管理 TPM 命令清單。 您必須是本機 Administrators 群組的成員。

使用本地組原則編輯器封鎖 TPM 命令

1. 開啟本地組原則編輯器 (gpedit.msc) 。 如果 [ 用戶帳戶控制] 對話框出現，請確認其顯示的動作是您想要的動作，然後選取 [ 是]。

   注意

   網域中具有適當許可權的系統管理員可以設定組策略物件 (可透過 Active Directory 網域服務 (AD DS) 套用的 GPO) 。

2. 在主控台樹的 [ 計算機設定] 底下，展開 [ 系統管理範本]，然後展開 [ 系統]。

3. 在 [ 系統] 底下，選取 [ 信賴平臺模組服務]。

4. 在詳細數據窗格中，按兩下 [ 設定封鎖的 TPM 命令清單]。

5. 選 取 [已啟用]，然後選取 [ 顯示]。

6. 針對您要封鎖的每個命令，選取 [ 新增]，輸入命令編號，然後選取 [ 確定]。

   注意

   如需命令清單，請參閱 TPM 規格中的連結。

7. 為您要封鎖的每個命令新增數字之後，請選取 [ 確定] 兩次。

8. 關閉 [本地組原則編輯器]。

使用 TPM MMC 封鎖或允許 TPM 命令

1. 開啟 TPM MMC (tpm.msc) 。 如果 [ 用戶帳戶控制] 對話框出現，請確認其顯示的動作是您想要的動作，然後選取 [ 是]。
2. 在主控台樹中，選取 [ 命令管理]。 隨即顯示 TPM 命令清單。
3. 在清單中，選取您要封鎖或允許的命令。
4. 在 [ 動作] 底下，視需要選 取 [封鎖選取的命令 ] 或 [允許選取的命令 ]。 如果 [ 允許選取的命令 ] 無法使用，則組策略目前會封鎖該命令。

封鎖新命令

1. 開啟 TPM MMC (tpm.msc) 。 如果 [ 用戶帳戶控制] 對話框出現，請確認其顯示的動作是您想要的動作，然後選取 [ 是]。
2. 在主控台樹中，選取 [ 命令管理]。 隨即顯示 TPM 命令清單。
3. 在 [ 動作] 窗格中，選取 [ 封鎖新命令]。 [ 封鎖新增命令 ] 對話框隨即顯示。
4. 在 [ 命令編號 ] 文本框中，輸入您要封鎖的新命令編號，然後選取 [ 確定]。 您輸入的命令編號會新增至封鎖清單。

使用 TPM Cmdlet

您可以使用 Windows PowerShell 來管理 TPM。 如需詳細資訊，請 參閱 TrustedPlatformModule PowerShell Cmdlet。