TPM 群組原則設定
本文說明可使用組策略設定集中控制的受信任平臺模組 (TPM) Services。 TPM 服務的組策略設定位於 [計算機>設定] [系統管理範>本] [系統>信任的平臺模組服務] 底下。
設定封鎖的 TPM 命令清單
此原則設定可讓您管理受信任平臺模組的組策略清單 (TPM) Windows 封鎖的命令。
如果啟用此原則設定,Windows 會封鎖將指定的命令傳送到電腦上的 TPM。 命令編號會參考 TPM 命令。 例如,命令編號 129
為 TPM_OwnerReadInternalPub
,而命令編號 170
為 TPM_FieldUpgrade
。
如果您停用或未設定此原則設定,Windows 可能會封鎖透過預設或本機清單指定的 TPM 命令。 Windows 已預先設定封鎖 TPM 命令的預設清單。 您可以執行 來檢視預設清單、流覽至 [命令管理] 區段,並顯示 [在預設區塊清單 tpm.msc
上] 資料行。 封鎖的 TPM 命令的本機清單是在組 tpm.msc
策略之外設定,方法是針對Win32_Tpm介面執行或透過腳本。
將系統設定為在 TPM 未處於就緒狀態時清除它
如果偵測到 TPM 處於 Ready 以外的任何狀態,此原則設定會設定系統提示使用者清除 TPM。 只有當系統的 TPM 處於「就緒」以外的狀態時,此原則才會生效,包括 TPM 為「就緒,功能已減少」時。 只有在登入的使用者是系統的 Administrators 群組一部分時,才會在使用者登入時,在下次重新啟動之後開始提示清除 TPM。 提示可以關閉,但會在每次重新啟動並登入之後重新出現,直到原則停用或 TPM 處於就緒狀態為止。
忽略封鎖 TPM 命令的預設清單
此原則設定可讓您強制或忽略計算機的已封鎖信賴平臺模組本機清單 (TPM) 命令。
如果啟用此原則設定,Windows 會忽略電腦的封鎖 TPM 命令本機清單,且只會封鎖組策略或預設清單所指定的 TPM 命令。
封鎖的 TPM 命令的本機清單是在組策略之外設定的,方法是針對 Win32_Tpm
介面執行 tpm.msc
或透過腳本。 Windows 已預先設定封鎖 TPM 命令的預設清單。 請參閱相關的原則設定,以設定封鎖 TPM 命令的組策略清單。
如果您停用或未設定此原則設定,除了組策略中的命令和封鎖 TPM 命令的預設清單之外,Windows 還會封鎖本機清單中找到的 TPM 命令。
忽略封鎖的 TPM 命令的本機清單
此原則設定會設定將多少 TPM 擁有者授權資訊儲存在本機計算機的登錄中。 根據儲存在本機的 TPM 擁有者授權資訊數量,操作系統和 TPM 型應用程式可以執行特定 TPM 動作,這需要 TPM 擁有者授權,而不需要使用者輸入 TPM 擁有者密碼。
您可以選擇讓操作系統存放區具有完整的 TPM 擁有者授權值、TPM 系統管理委派 Blob 加上 TPM 使用者委派 Blob,或是無。
如果您啟用此原則設定,Windows 會根據您選擇的作業系統受控 TPM 驗證設定,將 TPM 擁有者授權儲存在本機電腦的登錄中。
選擇 [完整] 的操作系統受控 TPM 驗證設定,以在本機登錄中儲存完整的 TPM 擁有者授權、TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob。 此設定允許使用 TPM,而不需要遠端或外部儲存 TPM 擁有者授權值。 此設定適用於不相依於防止重設 TPM 反鐵制邏輯或變更 TPM 擁有者授權值的案例。 某些以 TPM 為基礎的應用程式可能需要先變更此設定,才能使用相依於 TPM 反哈希邏輯的功能。
選擇 [委派] 的操作系統受控 TPM 驗證設定,只將 TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob 儲存在本機登錄中。 此設定適用於相依於 TPM 反鐵制邏輯的 TPM 型應用程式。
選擇操作系統受控 TPM 驗證設定為 [無],以與先前的操作系統和應用程式相容,或用於需要 TPM 擁有者授權的案例,而不會儲存在本機。 使用此設定可能會導致某些 TPM 型應用程式發生問題。
注意
如果操作系統管理的 TPM 驗證設定從 「完整」變更為「委派」,則會重新產生完整的 TPM 擁有者授權值,而且原始 TPM 擁有者授權值的任何複本都會失效。
設定可供操作系統使用的 TPM 擁有者授權資訊層級
重要
從 Windows 10 版本 1703 開始,預設值為 5。 這個值會在布建期間實作,讓另一個 Windows 元件可以根據系統設定來刪除它或取得其擁有權。 針對 TPM 2.0,值為 5 表示保留鎖定授權。 對於 TPM 1.2,這表示捨棄完整 TPM 擁有者授權,並只保留委派的授權。
此原則設定已設定哪些 TPM 授權值儲存在本機電腦的登錄中。 需要特定的授權值,才能讓 Windows 執行特定動作。
TPM 1.2 值 | TPM 2.0 值 | 用途 | 保留在層級 0 嗎? | 保留在層級 2? | 保留在層級 4? |
---|---|---|---|---|---|
OwnerAuthAdmin | StorageOwnerAuth | 建立 SRK | 否 | 是 | 是 |
OwnerAuthEndorsement | EndorsementAuth | 僅建立或使用 EK (1.2:建立 AIK) | 否 | 是 | 是 |
OwnerAuthFull | LockoutAuth | 重設/變更字典攻擊保護 | 否 | 否 | 是 |
Windows 作業系統管理的 TPM 擁有者驗證設定有三個。 您可以選擇 [ 完整]、[ 委派] 或 [ 無] 值。
完整:此設定會將完整的 TPM 擁有者授權、TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob 儲存在本機登錄中。 透過此設定,您可以使用 TPM,而不需要遠端或外部儲存 TPM 擁有者授權值。 此設定適用於不需要重設 TPM 反鐵制邏輯或變更 TPM 擁有者授權值的案例。 某些以 TPM 為基礎的應用程式可能需要先變更此設定,才能使用相依於 TPM 反哈希邏輯的功能。 TPM 1.2 中的完整擁有者授權類似於 TPM 2.0 中的鎖定授權。 擁有者授權對於 TPM 2.0 有不同的意義。
委派:此設定只會將 TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob 儲存在本機登錄中。 此設定適用於相依於 TPM 反哈希邏輯的 TPM 型應用程式。 這是 Windows 1703 版之前的預設設定。
無:此設定提供與先前操作系統和應用程式的相容性。 您也可以將它用於無法在本機儲存 TPM 擁有者授權的案例。 使用此設定可能會導致某些 TPM 型應用程式發生問題。
注意
如果操作系統管理的 TPM 驗證設定從 [完整 ] 變更為 [委 派],則會重新產生完整的 TPM 擁有者授權值,而且先前設定的 TPM 擁有者授權值的任何複本都將無效。
登錄資訊
登入機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
下表顯示登錄中的 TPM 擁有者授權值。
值數據 | 設定 |
---|---|
0 | 無 |
2 | 委託 |
4 | 完整 |
如果您啟用此原則設定,Windows 作業系統會根據您選擇的 TPM 驗證設定,將 TPM 擁有者授權儲存在本機電腦的登錄中。
在 1607 版之前的 Windows 10 上,如果您停用或未設定此原則設定,而且 [ 將 TPM 備份開啟至 Active Directory 網域服務 ] 原則設定也會停用或未設定,則預設設定是將完整的 TPM 授權值儲存在本機登錄中。 如果停用或未設定此原則,且已啟用 [ 開啟 TPM 備份至 Active Directory 網域服務 ] 原則設定,則只有系統管理委派和使用者委派 Blob 會儲存在本機登錄中。
標準使用者鎖定持續時間
此原則設定可讓您管理信賴平臺模組 (TPM) 命令需要授權的標準使用者授權失敗,以分鐘為單位計算的持續時間。 每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 系統會忽略比您設定的持續時間還舊的授權失敗。 如果在鎖定期間內發生授權失敗的 TPM 命令數目等於臨界值,標準使用者將無法將需要授權的命令傳送至 TPM。
TPM 的設計目的是在收到太多具有不正確授權值的命令時進入硬體鎖定模式,以保護自己免於密碼猜測攻擊。 當 TPM 進入鎖定模式時,所有使用者 (包括系統管理員) 以及 BitLocker 磁碟驅動器加密等 Windows 功能,都是全域的。
此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,方法是讓標準使用者可以傳送需要授權的命令傳送至 TPM 的速度變慢。
針對每個標準使用者,會套用兩個閾值。 超過任一閾值可防止用戶傳送需要授權給 TPM 的命令。 使用下列原則設定來設定鎖定持續時間:
- 標準使用者個別鎖定閾值:此值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可以擁有的授權失敗數目上限。
- 標準使用者總鎖定閾值:此值是所有標準使用者在所有標準使用者都不允許將需要授權的命令傳送至 TPM 之前,可以擁有的最大授權失敗總數。
具有 TPM 擁有者密碼的系統管理員可以使用 Windows Defender 資訊安全中心完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗。 這可讓標準使用者立即正常使用 TPM。
如果您未設定此原則設定,則會使用預設值 480 分鐘 (8 小時) 。
標準用戶個別鎖定閾值
此原則設定可讓您管理信賴平臺模組 (TPM) 每個標準使用者的授權失敗數目上限。 此值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可以擁有的授權失敗數目上限。 如果使用者在標準 使用者鎖定持續 時間原則設定期間內的授權失敗數目等於此值,則會防止標準使用者將需要授權的命令傳送至信賴平臺模組 (TPM) 。
此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,方法是讓標準使用者可以傳送需要授權的命令傳送至 TPM 的速度變慢。
每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過持續時間的授權失敗會被忽略。
具有 TPM 擁有者密碼的系統管理員可以使用 Windows Defender 資訊安全中心完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗。 這可讓標準使用者立即正常使用 TPM。
如果您未設定此原則設定,則會使用預設值 4。 值為零表示操作系統不允許標準使用者將命令傳送至 TPM,這可能會導致授權失敗。
標準使用者總鎖定閾值
此原則設定可讓您管理信賴平臺模組 (TPM) 之所有標準使用者的授權失敗數目上限。 如果標準使用者 鎖定持續 時間原則設定期間內所有標準使用者的授權失敗總數等於此值,則所有標準使用者都無法將需要授權的命令傳送至信賴平臺模組 (TPM) 。
此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會降低標準使用者可以傳送要求授權的命令至 TPM 的速度。
每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過持續時間的授權失敗會被忽略。
具有 TPM 擁有者密碼的系統管理員可以使用 Windows Defender 資訊安全中心完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗。 這可讓標準使用者立即正常使用 TPM。
如果您未設定此原則設定,則會使用預設值 9。 值為零表示操作系統不允許標準使用者將命令傳送至 TPM,這可能會導致授權失敗。
將系統設定為使用 TPM 2.0 的舊版字典攻擊防護參數設定
在 Windows 10 版本 1703 中引進,此原則設定會將 TPM 設定為使用字典攻擊防護參數 (鎖定閾值和復原時間,) Windows 10 版本 1607 及以下版本所使用的值。
重要
只有在下列狀況下,設定此原則才會生效:
- TPM 原本是使用 Windows 10 版本 1607 之後的 Windows 版本來準備
- 系統具有 TPM 2.0。
注意
啟用此原則只會在 TPM 維護工作執行之後生效 (通常會在系統重新啟動) 之後發生。 一旦在系統上啟用此原則,並在系統重新啟動) 後生效 (,停用它將不會有任何影響,而且不論此組策略的值為何,系統 TPM 都會使用舊版字典攻擊防護參數維持設定。 在啟用此原則的系統上,停用此原則設定生效的唯一方式是:
- 從組策略停用
- 清除系統上的 TPM
Windows 安全性中的 TPM 組策略設定
您可以變更使用者在 Windows 安全性中看到 TPM 的內容。 Windows 安全性中 TPM 區域的組策略設定位於 [計算機>設定] [系統管理範>本] [Windows 元件>] [Windows 安全性裝置安全>性] 底下。
停用 [清除 TPM] 按鈕
如果您不想讓使用者能夠在 Windows 安全性中選取 [清除 TPM] 按鈕,您可以使用此組策略設定加以停用。 選 取 [已啟用 ],讓 [清除 TPM ] 按鈕無法使用。
隱藏 TPM 韌體更新建議
如果您不想讓使用者看到更新 TPM 韌體的建議,您可以使用此設定加以停用。 選 取 [啟用 ] 以防止使用者在偵測到易受攻擊的韌體時看到更新其 TPM 韌體的建議。