Поделиться через


Поставщик служб CSP политики — ADMX_TPM

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

BlockedCommandsList_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name

Этот параметр политики позволяет управлять списком групповых политик команд доверенного платформенного модуля (TPM), заблокированных Windows.

  • Если этот параметр политики включен, Windows заблокирует отправку указанных команд в доверенный платформенный модуль на компьютере. На команды доверенного платформенного модуля указывает номер команды. Например, номер команды 129 — TPM_OwnerReadInternalPub, а номер 170 — TPM_FieldUpgrade. Чтобы найти номер команды, связанной с каждой командой доверенного платформенного модуля с TPM 1.2, выполните команду "tpm.msc" и перейдите к разделу "Управление командами".

  • Если этот параметр политики отключен или не настроен, Windows может заблокировать только команды доверенного платформенного модуля, указанные в списках по умолчанию или локальных списках. Список заблокированных команд доверенного платформенного платформенного модуля по умолчанию предварительно настроен Windows. Список по умолчанию можно просмотреть, запустив "tpm.msc", перейдя в раздел "Управление командами" и сделав видимым столбец "Список блокировок по умолчанию". Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается вне групповой политики путем запуска "tpm.msc" или скрипта в интерфейсе Win32_Tpm. Ознакомьтесь со связанными параметрами политики, чтобы применить или игнорировать локальные списки по умолчанию и локальные списки заблокированных команд доверенного платформенного модуля.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя BlockedCommandsList_Name
Понятное имя Настройка списка заблокированных команд доверенного платформенного модуля
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands
Имя значения реестра Enabled
Имя файла ADMX TPM.admx

ClearTPMIfNotReady_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name

Этот параметр политики настраивает систему, чтобы предложить пользователю очистить TPM, если TPM находится в состоянии, отличном от готовности. Эта политика вступит в силу только в том случае, если TPM системы находится в состоянии, отличном от Готовности, в том числе если доверенный платформенный модуль имеет значение "Готово, с ограниченными возможностями". Запрос на очистку доверенного платформенного модуля начнется после следующей перезагрузки при входе пользователя только в том случае, если вошедший в систему пользователь входит в группу администраторов системы. Запрос можно отклонить, но он будет появляться после каждой перезагрузки и входа до тех пор, пока политика не будет отключена или пока доверенный платформенный модуль не будет находиться в состоянии Готовности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя ClearTPMIfNotReady_Name
Понятное имя Настройте систему для очистки доверенного платформенного модуля, если он не находится в состоянии готовности.
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\TPM
Имя значения реестра ClearTPMIfNotReadyGP
Имя файла ADMX TPM.admx

IgnoreDefaultList_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name

Этот параметр политики позволяет принудительно применять или игнорировать список заблокированных команд доверенного платформенного модуля (TPM) компьютера по умолчанию.

  • Если этот параметр политики включен, Windows проигнорирует список заблокированных команд доверенного платформенного модуля компьютера по умолчанию и заблокирует только команды доверенного платформенного модуля, указанные в групповой политике или локальном списке.

Список заблокированных команд доверенного платформенного платформенного модуля по умолчанию предварительно настроен Windows. Список по умолчанию можно просмотреть, запустив "tpm.msc", перейдя в раздел "Управление командами" и сделав видимым столбец "Список блокировок по умолчанию". Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается вне групповой политики путем запуска "tpm.msc" или скрипта в интерфейсе Win32_Tpm. Чтобы настроить список заблокированных команд доверенного платформенного модуля, см. соответствующий параметр политики.

  • Если этот параметр политики отключен или не настроен, Windows заблокирует команды доверенного платформенного модуля в списке по умолчанию в дополнение к командам в групповой политике и локальным спискам заблокированных команд доверенного платформенного модуля.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя IgnoreDefaultList_Name
Понятное имя Игнорировать список заблокированных команд доверенного платформенного модуля по умолчанию
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\TPM\BlockedCommands
Имя значения реестра IgnoreDefaultList
Имя файла ADMX TPM.admx

IgnoreLocalList_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name

Этот параметр политики позволяет принудительно применять или игнорировать локальный список заблокированных команд доверенного платформенного модуля (TPM) компьютера.

  • Если этот параметр политики включен, Windows проигнорирует локальный список заблокированных команд доверенного платформенного модуля компьютера и заблокирует только те команды доверенного платформенного модуля, которые указаны в групповой политике или списке по умолчанию.

Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается вне групповой политики путем запуска "tpm.msc" или скрипта в интерфейсе Win32_Tpm. Список заблокированных команд доверенного платформенного платформенного модуля по умолчанию предварительно настроен Windows. Чтобы настроить список заблокированных команд доверенного платформенного модуля, см. соответствующий параметр политики.

  • Если этот параметр политики отключен или не настроен, Windows заблокирует команды доверенного платформенного модуля в локальном списке в дополнение к командам в групповой политике и спискам по умолчанию заблокированных команд доверенного платформенного модуля.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя IgnoreLocalList_Name
Понятное имя Игнорировать локальный список заблокированных команд доверенного платформенного модуля
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\TPM\BlockedCommands
Имя значения реестра IgnoreLocalList
Имя файла ADMX TPM.admx

OptIntoDSHA_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name

Эта групповая политика включает отчеты об аттестации работоспособности устройств (DHA-report) на поддерживаемых устройствах. Он позволяет поддерживаемым устройствам отправлять сведения, связанные с аттестацией работоспособности устройств (журналы загрузки устройств, значения PCR, сертификат доверенного платформенного модуля и т. д.) в службу аттестации работоспособности устройств (DHA-Service) при каждом запуске устройства. Служба аттестации работоспособности устройств проверяет состояние безопасности и работоспособность устройств, а также делает полученные результаты доступными для администраторов предприятия с помощью облачного портала отчетов. Эта политика не зависит от отчетов DHA, инициированных решениями для управления устройствами (например, MDM или SCCM), и не будет мешать их рабочим процессам.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя OptIntoDSHA_Name
Понятное имя Включение мониторинга и создания отчетов по аттестации работоспособности устройств
Location Конфигурация компьютера
Путь Служба аттестации работоспособности системных > устройств
Имя раздела реестра Software\Policies\Microsoft\DeviceHealthAttestationService
Имя значения реестра EnableDeviceHealthAttestationService
Имя файла ADMX TPM.admx

OSManagedAuth_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name

Этот параметр политики определяет, сколько сведений об авторизации владельца доверенного платформенного модуля хранится в реестре локального компьютера. В зависимости от объема сведений об авторизации владельца доверенного платформенного модуля, хранящихся локально, операционная система и приложения на основе доверенного платформенного модуля могут выполнять определенные действия, требующие авторизации владельца доверенного платформенного модуля, не требуя от пользователя вводить пароль владельца доверенного платформенного модуля.

Вы можете выбрать, чтобы операционная система хранила полное значение авторизации владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля или нет.

Если этот параметр политики включен, Windows сохранит авторизацию владельца доверенного платформенного модуля в реестре локального компьютера в соответствии с выбранным параметром проверки подлинности доверенного платформенного модуля, управляемого операционной системой.

Выберите параметр проверки подлинности доверенного платформенного модуля, управляемого операционной системой, значение "Full", чтобы сохранить полную авторизацию владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля в локальном реестре. Этот параметр позволяет использовать TPM без необходимости удаленного или внешнего хранилища значения авторизации владельца доверенного платформенного модуля. Этот параметр подходит для сценариев, которые не зависят от предотвращения сброса логики защиты доверенного платформенного модуля или изменения значения авторизации владельца доверенного платформенного модуля. Для некоторых приложений на основе доверенного платформенного модуля может потребоваться изменить этот параметр, прежде чем можно будет использовать функции, зависящие от логики защиты доверенного платформенного модуля.

Выберите параметр проверки подлинности управляемого доверенного платформенного модуля операционной системы "Делегировано", чтобы сохранить в локальном реестре только большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля. Этот параметр подходит для использования с приложениями на основе доверенного платформенного модуля, которые зависят от логики защиты доверенного платформенного модуля.

Выберите параметр проверки подлинности доверенного платформенного модуля под управлением операционной системы значение None для совместимости с предыдущими операционными системами и приложениями или для использования в сценариях, требующих авторизации владельца доверенного платформенного модуля, не сохраняемых локально. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе доверенного платформенного модуля.

Примечание.

Если параметр проверки подлинности доверенного платформенного платформенного модуля, управляемый операционной системой, изменен с "Полный" на "Делегировано", то будет повторно создано полное значение авторизации владельца доверенного платформенного модуля, а все копии исходного значения авторизации владельца доверенного платформенного модуля будут недопустимыми.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя OSManagedAuth_Name
Понятное имя Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных операционной системе
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\TPM
Имя файла ADMX TPM.admx

StandardUserAuthorizationFailureDuration_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name

Этот параметр политики позволяет управлять длительностью в минутах для подсчета сбоев авторизации стандартного пользователя для команд доверенного платформенного модуля (TPM), требующих авторизации. Если количество команд доверенного платформенного платформенного модуля со сбоем авторизации в течение длительности равно пороговой, стандартный пользователь не может отправлять команды, требующие авторизации, в доверенный платформенный модуль.

Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.

Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше этого срока игнорируются.

Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит стандартному пользователю отправить команду доверенному платформенного модуля, требующую авторизации.

Индивидуальное пороговое значение блокировки стандартного пользователя — это максимальное число сбоев авторизации, которые могут возникнуть у каждого стандартного пользователя, прежде чем пользователю не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.

Пороговое значение блокировки стандартного пользователя — это максимальное общее число сбоев авторизации, которые могут возникнуть у всех стандартных пользователей, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.

TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей, включая администраторов и функции Windows, такие как шифрование диска BitLocker. Количество сбоев авторизации, которые допускает доверенный платформенный модуль, и время его блокировки зависят от производителя доверенного платформенного модуля. Некоторые TTPM могут переходить в режим блокировки в течение последовательно более длительных периодов времени с меньшим количеством сбоев авторизации в зависимости от прошлых сбоев. Для выхода из режима блокировки для некоторых TTPM может потребоваться перезагрузка системы. Для других TPM может потребоваться, чтобы система была включена, чтобы прошло достаточное количество циклов часов, прежде чем доверенный платформенный модуль выйдет из режима блокировки.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью консоли управления TPM (tpm.msc). Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. позволяет обычным пользователям использовать TPM в обычном режиме немедленно.

Если это значение не настроено, используется значение по умолчанию 480 минут (8 часов).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя StandardUserAuthorizationFailureDuration_Name
Понятное имя Длительность блокировки стандартного пользователя
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\Tpm
Имя значения реестра StandardUserAuthorizationFailureDuration
Имя файла ADMX TPM.admx

StandardUserAuthorizationFailureIndividualThreshold_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name

Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для каждого стандартного пользователя для доверенного платформенного модуля (TPM). Если это значение равно количеству сбоев авторизации для пользователя в течение длительности блокировки стандартного пользователя, стандартный пользователь не может отправлять команды в доверенный платформенный модуль (TPM), для которых требуется авторизация.

Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.

Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.

Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит стандартному пользователю отправить команду доверенному платформенного модуля, требующую авторизации.

Это значение является максимальным числом сбоев авторизации, которые могут возникнуть у каждого стандартного пользователя, прежде чем пользователю не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.

Пороговое значение блокировки стандартного пользователя — это максимальное общее число сбоев авторизации, которые могут возникнуть у всех стандартных пользователей, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.

TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей, включая администраторов и функции Windows, такие как шифрование диска BitLocker. Количество сбоев авторизации, которые допускает доверенный платформенный модуль, и время его блокировки зависят от производителя доверенного платформенного модуля. Некоторые TTPM могут переходить в режим блокировки в течение последовательно более длительных периодов времени с меньшим количеством сбоев авторизации в зависимости от прошлых сбоев. Для выхода из режима блокировки для некоторых TTPM может потребоваться перезагрузка системы. Для других TPM может потребоваться, чтобы система была включена, чтобы прошло достаточное количество циклов часов, прежде чем доверенный платформенный модуль выйдет из режима блокировки.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью консоли управления TPM (tpm.msc). Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. позволяет обычным пользователям использовать TPM в обычном режиме немедленно.

Если это значение не настроено, используется значение по умолчанию 4.

Нулевое значение означает, что ОС не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя StandardUserAuthorizationFailureIndividualThreshold_Name
Понятное имя Пороговое значение блокировки для отдельных пользователей категории "Стандартный"
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\Tpm
Имя значения реестра StandardUserAuthorizationFailureIndividualThreshold
Имя файла ADMX TPM.admx

StandardUserAuthorizationFailureTotalThreshold_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name

Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для всех стандартных пользователей доверенного платформенного модуля (TPM). Если общее число сбоев авторизации для всех стандартных пользователей в течение длительности блокировки стандартного пользователя равно этому значению, все стандартные пользователи не могут отправлять команды в доверенный платформенный модуль (TPM), для которых требуется авторизация.

Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.

Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.

Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит стандартному пользователю отправить команду доверенному платформенного модуля, требующую авторизации.

Значение индивидуальной блокировки стандартного пользователя — это максимальное число сбоев авторизации, которые могут возникнуть у каждого стандартного пользователя до того, как пользователю не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.

Это значение является максимальным общим числом сбоев авторизации, которые могут возникнуть у всех стандартных пользователей, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации в TPM.

TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей, включая администраторов и функции Windows, такие как шифрование диска BitLocker. Количество сбоев авторизации, которые допускает доверенный платформенный модуль, и время его блокировки зависят от производителя доверенного платформенного модуля. Некоторые TTPM могут переходить в режим блокировки в течение последовательно более длительных периодов времени с меньшим количеством сбоев авторизации в зависимости от прошлых сбоев. Для выхода из режима блокировки для некоторых TTPM может потребоваться перезагрузка системы. Для других TPM может потребоваться, чтобы система была включена, чтобы прошло достаточное количество циклов часов, прежде чем доверенный платформенный модуль выйдет из режима блокировки.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью консоли управления TPM (tpm.msc). Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. позволяет обычным пользователям использовать TPM в обычном режиме немедленно.

Если это значение не настроено, используется значение по умолчанию 9.

Нулевое значение означает, что ОС не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя StandardUserAuthorizationFailureTotalThreshold_Name
Понятное имя Пороговое значение общего числа блокировок для обычных пользователей
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\Tpm
Имя значения реестра StandardUserAuthorizationFailureTotalThreshold
Имя файла ADMX TPM.admx

UseLegacyDAP_Name

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name

Этот параметр политики настраивает доверенный платформенный модуль для использования параметров защиты от атак в словаре (пороговое значение блокировки и время восстановления) для значений, которые использовались для Windows 10 версии 1607 и ниже. Установка этой политики вступит в силу только в том случае, если: ) TPM изначально был подготовлен с использованием версии Windows после Windows 10 версии 1607 и b) в системе есть TPM 2.0. Обратите внимание, что включение этой политики вступит в силу только после выполнения задачи обслуживания доверенного платформенного модуля (что обычно происходит после перезапуска системы). После включения этой политики в системе и ее применения (после перезапуска системы) ее отключение не повлияет, и доверенный платформенный модуль системы будет по-прежнему настроен с помощью устаревших параметров защиты от атак словаря, независимо от значения этой групповой политики. Единственный способ применения отключенного параметра этой политики в системе, в которой он был включен, — это а) отключить его из групповой политики и б)очистить TPM в системе.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя UseLegacyDAP_Name
Понятное имя Настройте систему для использования устаревших параметров защиты от атак в словаре для TPM 2.0.
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\TPM
Имя значения реестра UseLegacyDictionaryAttackParameters
Имя файла ADMX TPM.admx

Поставщик служб конфигурации политики