Поделиться через


Параметры групповой политики доверенного платформенного модуля

В этой статье описаны службы доверенного платформенного модуля (TPM), которыми можно централизованно управлять с помощью параметров групповой политики. Параметры групповой политики для служб доверенного платформенного модуля находятся в разделе Конфигурация компьютера>Административные шаблоны>Службы>доверенных платформенных модулей.

Настройка списка заблокированных команд доверенного платформенного модуля

Этот параметр политики позволяет управлять списком групповых политик команд доверенного платформенного модуля (TPM), заблокированных Windows.

Если этот параметр политики включен, Windows блокирует отправку указанных команд в доверенный платформенный модуль на компьютере. На команды доверенного платформенного модуля указывает номер команды. Например, номер 129 команды — TPM_OwnerReadInternalPub, а номер 170 команды — TPM_FieldUpgrade.

Если этот параметр политики отключен или не настроен, Windows может заблокировать только команды доверенного платформенного модуля, указанные в списках по умолчанию или локальных списках. Список заблокированных команд доверенного платформенного модуля по умолчанию предварительно настроен Windows. Список по умолчанию можно просмотреть, запустив tpm.msc, перейдя в раздел "Управление командами" и сделав видимым столбец "Список блокировок по умолчанию". Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается за пределами групповой политики путем запуска tpm.msc или с помощью скриптов в интерфейсе Win32_Tpm.

Настройка системы для очистки доверенного платформенного модуля, если он не находится в состоянии готовности

Этот параметр политики настраивает систему, чтобы предложить пользователю очистить TPM, если TPM находится в состоянии, отличном от готовности. Эта политика вступает в силу только в том случае, если TPM системы находится в состоянии, отличном от Готовности, в том числе если доверенный платформенный модуль имеет значение "Готово, с ограниченными функциональными возможностями". Запрос на очистку доверенного платформенного модуля начнется после следующей перезагрузки при входе пользователя только в том случае, если вошедший пользователь входит в группу администраторов системы. Запрос можно отклонить, но он будет появляться после каждой перезагрузки и входа до тех пор, пока политика не будет отключена или пока доверенный платформенный модуль не перейдет в состояние Готово.

Игнорировать список заблокированных команд доверенного платформенного модуля по умолчанию

Этот параметр политики позволяет принудительно применять или игнорировать локальный список заблокированных команд доверенного платформенного модуля (TPM) компьютера.

Если этот параметр политики включен, Windows игнорирует локальный список заблокированных команд доверенного платформенного модуля компьютера и будет блокировать только команды доверенного платформенного модуля, указанные групповой политикой или списком по умолчанию.

Локальный список заблокированных команд доверенного платформенного модуля настраивается за пределами групповой политики путем запуска tpm.msc или с помощью скриптов в интерфейсе Win32_Tpm . Список заблокированных команд доверенного платформенного модуля по умолчанию предварительно настроен Windows. Чтобы настроить список заблокированных команд доверенного платформенного модуля, см. соответствующий параметр политики.

Если этот параметр политики отключен или не настроен, Windows блокирует команды доверенного платформенного модуля, найденные в локальном списке, в дополнение к командам в групповой политике и спискам заблокированных команд доверенного платформенного модуля по умолчанию.

Игнорировать локальный список заблокированных команд доверенного платформенного модуля

Этот параметр политики определяет, сколько сведений об авторизации владельца доверенного платформенного модуля хранится в реестре локального компьютера. В зависимости от объема сведений об авторизации владельца доверенного платформенного модуля, хранящихся локально, операционная система и приложения на основе TPM могут выполнять определенные действия доверенного платформенного модуля, для которых требуется авторизация владельца доверенного платформенного модуля, не требуя от пользователя вводить пароль владельца доверенного платформенного модуля.

Вы можете выбрать, чтобы операционная система хранила полное значение авторизации владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля или нет.

Если этот параметр политики включен, Windows сохраняет авторизацию владельца доверенного платформенного модуля в реестре локального компьютера в соответствии с выбранным параметром проверки подлинности доверенного платформенного модуля, управляемого операционной системой.

Выберите параметр проверки подлинности доверенного платформенного модуля, управляемого операционной системой, значение "Full", чтобы сохранить полную авторизацию владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля в локальном реестре. Этот параметр позволяет использовать TPM без необходимости удаленного или внешнего хранилища значения авторизации владельца доверенного платформенного модуля. Этот параметр подходит для сценариев, которые не зависят от предотвращения сброса логики защиты доверенного платформенного модуля или изменения значения авторизации владельца доверенного платформенного модуля. Для некоторых приложений на основе доверенного платформенного модуля может потребоваться изменить этот параметр, прежде чем можно будет использовать функции, которые зависят от логики защиты доверенного платформенного модуля.

Выберите параметр проверки подлинности управляемого доверенного платформенного модуля операционной системы "Делегировано", чтобы сохранить в локальном реестре только большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля. Этот параметр подходит для использования с приложениями на основе доверенного платформенного модуля, которые зависят от логики защиты доверенного платформенного модуля.

Выберите параметр проверки подлинности доверенного платформенного модуля под управлением операционной системы значение None для совместимости с предыдущими операционными системами и приложениями или для использования в сценариях, требующих авторизации владельца доверенного платформенного модуля, не сохраняемых локально. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе доверенного платформенного модуля.

Примечание.

Если параметр проверки подлинности доверенного платформенного модуля, управляемого операционной системой, изменяется с "Полный" на "Делегированный", то значение авторизации владельца доверенного платформенного модуля повторно создается, а все копии исходного значения авторизации владельца доверенного платформенного модуля становятся недействительными.

Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных операционной системе

Важно.

Начиная с Windows 10 версии 1703, значение по умолчанию — 5. Это значение реализуется во время подготовки, чтобы другой компонент Windows может либо удалить его, либо взять на себя ответственность за него в зависимости от конфигурации системы. Для TPM 2.0 значение 5 означает сохранение авторизации блокировки. Для TPM 1.2 это означает отмену полной авторизации владельца доверенного платформенного модуля и сохранение только делегированной авторизации.

Этот параметр политики настраивает, какие значения авторизации доверенного платформенного модуля хранятся в реестре локального компьютера. Чтобы разрешить Windows выполнять определенные действия, требуются определенные значения авторизации.

Значение TPM 1.2 Значение TPM 2.0 Описание Держится на уровне 0? Держится на уровне 2? Держится на уровне 4?
OwnerAuthAdmin StorageOwnerAuth Создание SRK Нет Да Да
OwnerAuthEndorsement ПодтверждениеAuth Создание или использование EK (только 1.2: Создание AIK) Нет Да Да
OwnerAuthFull LockoutAuth Сброс и изменение защиты от атак словаря Нет Нет Да

Существует три параметра проверки подлинности владельца доверенного платформенного модуля, которые управляются операционной системой Windows. Можно выбрать значение Full, Delegate или None.

  • Полное. Этот параметр сохраняет полную авторизацию владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля в локальном реестре. С помощью этого параметра можно использовать TPM, не требуя удаленного или внешнего хранилища значения авторизации владельца доверенного платформенного модуля. Этот параметр подходит для сценариев, в которых не требуется сбрасывать логику защиты от молотка доверенного платформенного модуля или изменять значение авторизации владельца доверенного платформенного модуля. Для некоторых приложений на основе доверенного платформенного модуля может потребоваться изменить этот параметр, прежде чем можно будет использовать функции, зависящие от логики защиты доверенного платформенного модуля. Полная авторизация владельца в TPM 1.2 аналогична авторизации блокировки в TPM 2.0. Авторизация владельца имеет другое значение для TPM 2.0.

  • Делегировано. Этот параметр сохраняет в локальном реестре только большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля. Этот параметр подходит для использования с приложениями на основе доверенного платформенного модуля, которые зависят от логики защиты от применения модуля TPM. Это параметр по умолчанию в Windows до версии 1703.

  • Нет. Этот параметр обеспечивает совместимость с предыдущими операционными системами и приложениями. Его также можно использовать в сценариях, когда авторизацию владельца доверенного платформенного модуля не удается сохранить локально. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе доверенного платформенного модуля.

Примечание.

Если параметр проверки подлинности доверенного платформенного модуля, управляемого операционной системой, изменен с "Полный " на "Делегировано", то значение авторизации владельца доверенного платформенного модуля будет повторно создано, а все копии ранее заданного значения авторизации владельца доверенного платформенного модуля будут недопустимыми.

Сведения о реестре

Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

В следующей таблице показаны значения авторизации владельца доверенного платформенного модуля в реестре.

Данные о значении Параметр
0 Нет
2 Делегированные
4 Полный

Если этот параметр политики включен, операционная система Windows сохраняет авторизацию владельца доверенного платформенного модуля в реестре локального компьютера в соответствии с выбранным параметром проверки подлинности доверенного платформенного модуля.

В Windows 10 до версии 1607 этот параметр политики отключен или не настроен, а параметр политики Включение резервного копирования доверенного платформенного модуля в доменные службы Active Directory также отключен или не настроен, параметр по умолчанию — сохранение полного значения авторизации доверенного платформенного модуля в локальном реестре. Если эта политика отключена или не настроена, а параметр политики Включить резервное копирование доверенного платформенного модуля в доменные службы Active Directory включен, в локальном реестре сохраняются только административные делегирования и большие двоичные объекты делегирования пользователей.

Длительность блокировки стандартного пользователя

Этот параметр политики позволяет управлять длительностью в минутах для подсчета сбоев авторизации стандартного пользователя для команд доверенного платформенного модуля (TPM), требующих авторизации. Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации, которые старше заданной длительности, игнорируются. Если количество команд доверенного платформенного платформенного модуля со сбоем авторизации в течение длительности блокировки равно пороговой, стандартный пользователь не может отправлять команды, требующие авторизации, в доверенный платформенный модуль.

TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда TPM переходит в режим блокировки, он является глобальным для всех пользователей (включая администраторов) и для таких функций Windows, как шифрование диска BitLocker.

Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, замедляя скорость, с которой обычные пользователи могут отправлять команды, требующие авторизации в TPM.

Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит пользователю отправить команду, требующую авторизации доверенному платформенного модуля. Используйте следующие параметры политики, чтобы задать длительность блокировки:

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью Центра безопасности Защитника Windows. Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. Это позволяет обычным пользователям немедленно использовать TPM в обычном режиме.

Если этот параметр политики не настроен, используется значение по умолчанию 480 минут (8 часов).

Пороговое значение блокировки для отдельных пользователей категории "Стандартный"

Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для каждого стандартного пользователя для доверенного платформенного модуля (TPM). Это значение представляет собой максимальное число сбоев авторизации, которое может иметь каждый обычный пользователь, прежде чем ему не будет разрешено отправлять команды, требующие авторизации доверенному платформенного модуля. Если это значение равно количеству сбоев авторизации для пользователя в течение длительности, заданной для параметра политики "Длительность блокировки стандартного пользователя ", стандартному пользователю не будет запрещена отправка команд, требующих авторизации, в доверенный платформенный модуль (TPM).

Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, замедляя скорость, с которой обычные пользователи могут отправлять команды, требующие авторизации в TPM.

Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью Центра безопасности Защитника Windows. Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. Это позволяет обычным пользователям немедленно использовать TPM в обычном режиме.

Если этот параметр политики не настроен, используется значение по умолчанию 4. Нулевое значение означает, что операционная система не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.

Пороговое значение общего числа блокировок для обычных пользователей

Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для всех стандартных пользователей доверенного платформенного модуля (TPM). Если общее количество сбоев авторизации для всех стандартных пользователей в течение срока действия, установленного для политики продолжительности блокировки стандартного пользователя , равно этому значению, всем стандартным пользователям не разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль (TPM).

Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.

Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью Центра безопасности Защитника Windows. Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. Это позволяет обычным пользователям немедленно использовать TPM в обычном режиме.

Если этот параметр политики не настроен, используется значение по умолчанию 9. Нулевое значение означает, что операционная система не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.

Настройка системы для использования устаревших параметров защиты от атак в словаре для TPM 2.0

Этот параметр политики, представленный в Windows 10 версии 1703, настраивает доверенный платформенный модуль на использование параметров защиты от атак словаря (пороговое значение блокировки и время восстановления) для значений, которые использовались для Windows 10 версии 1607 и ниже.

Важно.

Установка этой политики вступит в силу только в том случае, если:

  • TPM изначально был подготовлен с помощью версии Windows после Windows 10 версии 1607.
  • В системе есть TPM 2.0.

Примечание.

Включение этой политики вступит в силу только после выполнения задачи обслуживания доверенного платформенного модуля (что обычно происходит после перезапуска системы). После включения этой политики в системе и ее применения (после перезапуска системы) ее отключение не повлияет, и доверенный платформенный модуль системы будет по-прежнему настроен с помощью устаревших параметров защиты от атак словаря, независимо от значения этой групповой политики. Единственными способами применения отключенного параметра этой политики в системе, в которой она была включена, являются следующие:

  • Отключение из групповой политики
  • Очистка доверенного платформенного модуля в системе

Параметры групповой политики доверенного платформенного модуля в системе безопасности Windows

Вы можете изменить, что пользователи видят о доверенном платформенный платформенный модуль в системе безопасности Windows. Параметры групповой политики для области TPM в разделе Безопасность Windows находятся в разделе Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsБезопасность>устройств Windows.

Отключение кнопки "Очистить TPM"

Если вы не хотите, чтобы пользователи могли нажать кнопку Очистить доверенный платформенный модуль в разделе "Безопасность Windows", ее можно отключить с помощью этого параметра групповой политики. Выберите Включено , чтобы кнопка Очистить TPM недоступна для использования.

Скрыть рекомендацию по обновлению встроенного ПО доверенного платформенного модуля

Если вы не хотите, чтобы пользователи видели рекомендацию по обновлению встроенного ПО доверенного платформенного модуля, ее можно отключить с помощью этого параметра. Выберите Включено, чтобы пользователи не видели рекомендацию по обновлению встроенного ПО доверенного платформенного модуля при обнаружении уязвимого встроенного ПО.