Provider di servizi di configurazione dei criteri - ADMX_TPM
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
BlockedCommandsList_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
Questa impostazione di criterio consente di gestire l'elenco Criteri di gruppo dei comandi TPM (Trusted Platform Module) bloccati da Windows.
Se si abilita questa impostazione di criterio, Windows impedirà l'invio dei comandi specificati al TPM nel computer. Ai comandi TPM viene fatto riferimento da un numero di comando. Ad esempio, il numero di comando 129 è TPM_OwnerReadInternalPub e il numero di comando 170 è TPM_FieldUpgrade. Per trovare il numero di comando associato a ogni comando TPM con TPM 1.2, eseguire "tpm.msc" e passare alla sezione "Gestione comandi".
Se disabiliti o non configuri questa impostazione di criterio, Windows potrebbe bloccare solo i comandi TPM specificati tramite gli elenchi predefiniti o locali. L'elenco predefinito dei comandi TPM bloccati è pre-configurato da Windows. È possibile visualizzare l'elenco predefinito eseguendo "tpm.msc", passando alla sezione "Gestione comandi" e rendendo visibile la colonna "On Default Block List". L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo "tpm.msc" o tramite script sull'interfaccia Win32_Tpm. Vedere le impostazioni dei criteri correlate per applicare o ignorare gli elenchi predefiniti e locali dei comandi TPM bloccati.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | BlockedCommandsList_Name |
| Nome descrittivo | Configurare l'elenco dei comandi TPM bloccati |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| Nome del valore del registro | Abilitato |
| Nome file ADMX | TPM.admx |
ClearTPMIfNotReady_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
Questa impostazione di criterio configura il sistema per richiedere all'utente di cancellare il TPM se viene rilevato che il TPM si trova in uno stato diverso da Pronto. Questo criterio avrà effetto solo se il TPM del sistema si trova in uno stato diverso da Pronto, incluso se il TPM è "Pronto, con funzionalità ridotte". La richiesta di cancellazione del TPM verrà avviata dopo il riavvio successivo, all'accesso utente solo se l'utente connesso fa parte del gruppo Administrators per il sistema. La richiesta può essere ignorata, ma verrà nuovamente visualizzata dopo ogni riavvio e accesso fino a quando il criterio non viene disabilitato o finché il TPM non è in uno stato Pronto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | ClearTPMIfNotReady_Name |
| Nome descrittivo | Configurare il sistema per cancellare il TPM se non è pronto. |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\TPM |
| Nome del valore del registro | ClearTPMIfNotReadyGP |
| Nome file ADMX | TPM.admx |
IgnoreDefaultList_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
Questa impostazione di criterio consente di applicare o ignorare l'elenco predefinito del computer di comandi TPM (Trusted Platform Module) bloccati.
- Se si abilita questa impostazione di criterio, Windows ignorerà l'elenco predefinito dei comandi TPM bloccati del computer e bloccherà solo i comandi TPM specificati da Criteri di gruppo o dall'elenco locale.
L'elenco predefinito dei comandi TPM bloccati è pre-configurato da Windows. È possibile visualizzare l'elenco predefinito eseguendo "tpm.msc", passando alla sezione "Gestione comandi" e rendendo visibile la colonna "On Default Block List". L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo "tpm.msc" o tramite script sull'interfaccia Win32_Tpm. Vedere l'impostazione dei criteri correlati per configurare l'elenco Criteri di gruppo dei comandi TPM bloccati.
- Se si disabilita o non si configura questa impostazione di criterio, Windows bloccherà i comandi TPM nell'elenco predefinito, oltre ai comandi nella Criteri di gruppo e negli elenchi locali dei comandi TPM bloccati.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | IgnoreDefaultList_Name |
| Nome descrittivo | Ignorare l'elenco predefinito di comandi TPM bloccati |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\TPM\BlockedCommands |
| Nome del valore del registro | IgnoreDefaultList |
| Nome file ADMX | TPM.admx |
IgnoreLocalList_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
Questa impostazione di criterio consente di applicare o ignorare l'elenco locale del computer di comandi TPM (Trusted Platform Module) bloccati.
- Se si abilita questa impostazione di criterio, Windows ignorerà l'elenco locale dei comandi TPM bloccati del computer e bloccherà solo i comandi TPM specificati da Criteri di gruppo o dall'elenco predefinito.
L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo "tpm.msc" o tramite script sull'interfaccia Win32_Tpm. L'elenco predefinito dei comandi TPM bloccati è pre-configurato da Windows. Vedere l'impostazione dei criteri correlati per configurare l'elenco Criteri di gruppo dei comandi TPM bloccati.
- Se disabiliti o non configuri questa impostazione di criterio, Windows bloccherà i comandi TPM presenti nell'elenco locale, oltre ai comandi nella Criteri di gruppo e negli elenchi predefiniti di comandi TPM bloccati.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | IgnoreLocalList_Name |
| Nome descrittivo | Ignorare l'elenco locale dei comandi TPM bloccati |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\TPM\BlockedCommands |
| Nome del valore del registro | IgnoreLocalList |
| Nome file ADMX | TPM.admx |
OptIntoDSHA_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
Questo criterio di gruppo abilita la creazione di report di attestazione dell'integrità dei dispositivi (DHA-report) nei dispositivi supportati. Consente ai dispositivi supportati di inviare informazioni correlate all'attestazione dell'integrità del dispositivo (log di avvio del dispositivo, valori PCR, certificato TPM e così via) al servizio di attestazione dell'integrità del dispositivo (DHA-Service) ogni volta che viene avviato un dispositivo. Il servizio di attestazione dell'integrità dei dispositivi convalida lo stato di sicurezza e l'integrità dei dispositivi e rende i risultati accessibili agli amministratori aziendali tramite un portale di report basato sul cloud. Questo criterio è indipendente dai report DHA avviati da soluzioni di gestibilità dei dispositivi (ad esempio MDM o SCCM) e non interferirà con i flussi di lavoro.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | OptIntoDSHA_Name |
| Nome descrittivo | Abilitare il monitoraggio e la creazione di report per l'attestazione dell'integrità dei dispositivi |
| Posizione | Configurazione computer |
| Percorso | Servizio di attestazione integrità dispositivi di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\DeviceHealthAttestationService |
| Nome del valore del registro | EnableDeviceHealthAttestationService |
| Nome file ADMX | TPM.admx |
OSManagedAuth_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
Questa impostazione di criterio consente di configurare la quantità di informazioni sull'autorizzazione del proprietario del TPM archiviate nel Registro di sistema del computer locale. A seconda della quantità di informazioni sull'autorizzazione del proprietario di TPM archiviate in locale, il sistema operativo e le applicazioni basate su TPM possono eseguire determinate azioni TPM che richiedono l'autorizzazione del proprietario del TPM senza richiedere all'utente di immettere la password del proprietario del TPM.
È possibile scegliere di avere l'archivio del sistema operativo con il valore completo di autorizzazione del proprietario del TPM, il BLOB di delega amministrativa TPM più il BLOB di delega utente TPM o nessuno.
Se si abilita questa impostazione di criterio, Windows archivierà l'autorizzazione del proprietario del TPM nel Registro di sistema del computer locale in base all'impostazione di autenticazione TPM gestita dal sistema operativo scelta.
Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo "Completa" per archiviare l'autorizzazione completa del proprietario del TPM, il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione consente l'uso del TPM senza richiedere l'archiviazione remota o esterna del valore di autorizzazione del proprietario del TPM. Questa impostazione è appropriata per scenari che non dipendono dalla prevenzione della reimpostazione della logica anti-hammering TPM o dalla modifica del valore di autorizzazione del proprietario del TPM. Alcune applicazioni basate su TPM potrebbero richiedere la modifica di questa impostazione prima di poter usare le funzionalità che dipendono dalla logica di anti-hammering TPM.
Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo di "Delegato" per archiviare solo il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione è appropriata per l'uso con applicazioni basate su TPM che dipendono dalla logica anti-hammering TPM.
Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo di "Nessuno" per la compatibilità con i sistemi operativi e le applicazioni precedenti o per l'uso con scenari che richiedono l'autorizzazione del proprietario del TPM non archiviati in locale. L'uso di questa impostazione potrebbe causare problemi con alcune applicazioni basate su TPM.
Nota
Se l'impostazione di autenticazione TPM gestita dal sistema operativo viene modificata da "Full" a "Delegated", il valore completo dell'autorizzazione del proprietario TPM verrà rigenerato e le copie del valore di autorizzazione del proprietario TPM originale non saranno valide.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | OSManagedAuth_Name |
| Nome descrittivo | Configurare il livello di informazioni sull'autorizzazione del proprietario di TPM disponibili per il sistema operativo |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\TPM |
| Nome file ADMX | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
Questa impostazione di criterio consente di gestire la durata in minuti per il conteggio degli errori di autorizzazione utente standard per i comandi TPM (Trusted Platform Module) che richiedono l'autorizzazione. Se il numero di comandi TPM con un errore di autorizzazione entro la durata è uguale a una soglia, a un utente standard viene impedito di inviare comandi che richiedono l'autorizzazione al TPM.
Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.
Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti a questa durata vengono ignorati.
Per ogni utente standard si applicano due soglie. Il superamento di una delle soglie impedirà all'utente standard di inviare un comando al TPM che richiede l'autorizzazione.
Il valore Standard User Lockout Threshold Individual è il numero massimo di errori di autorizzazione che ogni utente standard può avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
Il valore Soglia totale blocco utente standard è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard potrebbero avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti, inclusi gli amministratori e le funzionalità di Windows come Crittografia unità BitLocker. Il numero di errori di autorizzazione consentiti da un TPM e la durata del blocco variano a seconda del produttore del TPM. Alcuni TPM possono entrare in modalità di blocco per periodi di tempo successivi più lunghi, con un minor numero di errori di autorizzazione a seconda degli errori passati. Alcuni TPM potrebbero richiedere un riavvio del sistema per uscire dalla modalità di blocco. Altri TPM possono richiedere che il sistema sia attivo in modo da trascorrere un numero sufficiente di cicli di clock prima che il TPM esci dalla modalità di blocco.
Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando TPM Management Console (tpm.msc). Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati; consentendo agli utenti standard di usare il TPM normalmente di nuovo immediatamente.
Se questo valore non è configurato, viene usato un valore predefinito di 480 minuti (8 ore).
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | StandardUserAuthorizationFailureDuration_Name |
| Nome descrittivo | Durata blocco utente standard |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Tpm |
| Nome del valore del registro | StandardUserAuthorizationFailureDuration |
| Nome file ADMX | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per ogni utente standard per il modulo TPM (Trusted Platform Module). Se il numero di errori di autorizzazione per l'utente entro la durata di Durata blocco utente standard è uguale a questo valore, all'utente standard viene impedito di inviare comandi al modulo TPM (Trusted Platform Module) che richiedono l'autorizzazione.
Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.
Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.
Per ogni utente standard si applicano due soglie. Il superamento di una delle soglie impedirà all'utente standard di inviare un comando al TPM che richiede l'autorizzazione.
Questo valore è il numero massimo di errori di autorizzazione che ogni utente standard potrebbe avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
Il valore Soglia totale blocco utente standard è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard potrebbero avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti, inclusi gli amministratori e le funzionalità di Windows come Crittografia unità BitLocker. Il numero di errori di autorizzazione consentiti da un TPM e la durata del blocco variano a seconda del produttore del TPM. Alcuni TPM possono entrare in modalità di blocco per periodi di tempo successivi più lunghi, con un minor numero di errori di autorizzazione a seconda degli errori passati. Alcuni TPM potrebbero richiedere un riavvio del sistema per uscire dalla modalità di blocco. Altri TPM possono richiedere che il sistema sia attivo in modo da trascorrere un numero sufficiente di cicli di clock prima che il TPM esci dalla modalità di blocco.
Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando TPM Management Console (tpm.msc). Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati; consentendo agli utenti standard di usare il TPM normalmente di nuovo immediatamente.
Se questo valore non è configurato, viene usato il valore predefinito 4.
Il valore zero indica che il sistema operativo non consentirà agli utenti standard di inviare comandi al TPM che potrebbero causare un errore di autorizzazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | StandardUserAuthorizationFailureIndividualThreshold_Name |
| Nome descrittivo | Soglia di blocco individuale utente standard |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Tpm |
| Nome del valore del registro | StandardUserAuthorizationFailureIndividualThreshold |
| Nome file ADMX | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per tutti gli utenti standard per il modulo TPM (Trusted Platform Module). Se il numero totale di errori di autorizzazione per tutti gli utenti standard entro la durata di Durata blocco utente standard è uguale a questo valore, a tutti gli utenti standard viene impedito di inviare comandi al modulo TPM (Trusted Platform Module) che richiedono l'autorizzazione.
Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.
Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.
Per ogni utente standard si applicano due soglie. Il superamento di una delle soglie impedirà all'utente standard di inviare un comando al TPM che richiede l'autorizzazione.
Il valore Blocco singolo utente standard è il numero massimo di errori di autorizzazione che ogni utente standard potrebbe avere prima che l'utente non sia autorizzato a inviare comandi che richiedono l'autorizzazione al TPM.
Questo valore è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard potrebbero avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.
Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti, inclusi gli amministratori e le funzionalità di Windows come Crittografia unità BitLocker. Il numero di errori di autorizzazione consentiti da un TPM e la durata del blocco variano a seconda del produttore del TPM. Alcuni TPM possono entrare in modalità di blocco per periodi di tempo successivi più lunghi, con un minor numero di errori di autorizzazione a seconda degli errori passati. Alcuni TPM potrebbero richiedere un riavvio del sistema per uscire dalla modalità di blocco. Altri TPM possono richiedere che il sistema sia attivo in modo da trascorrere un numero sufficiente di cicli di clock prima che il TPM esci dalla modalità di blocco.
Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando TPM Management Console (tpm.msc). Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati; consentendo agli utenti standard di usare il TPM normalmente di nuovo immediatamente.
Se questo valore non è configurato, viene usato il valore predefinito 9.
Il valore zero indica che il sistema operativo non consentirà agli utenti standard di inviare comandi al TPM che potrebbero causare un errore di autorizzazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | StandardUserAuthorizationFailureTotalThreshold_Name |
| Nome descrittivo | Soglia di blocco totale utente standard |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Tpm |
| Nome del valore del registro | StandardUserAuthorizationFailureTotalThreshold |
| Nome file ADMX | TPM.admx |
UseLegacyDAP_Name
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
Questa impostazione di criterio configura il TPM per l'uso dei parametri di prevenzione degli attacchi del dizionario (soglia di blocco e tempo di ripristino) per i valori usati per Windows 10 versione 1607 e successive. L'impostazione di questo criterio avrà effetto solo se a) il TPM è stato originariamente preparato usando una versione di Windows dopo Windows 10 versione 1607 e b) il sistema ha un TPM 2.0. Si noti che l'abilitazione di questo criterio avrà effetto solo dopo l'esecuzione dell'attività di manutenzione TPM , che in genere si verifica dopo un riavvio del sistema. Dopo che questo criterio è stato abilitato in un sistema ed è diventato effettivo (dopo il riavvio del sistema), la disabilitazione non avrà alcun impatto e il TPM del sistema rimarrà configurato usando i parametri di prevenzione degli attacchi del dizionario legacy, indipendentemente dal valore di questo criterio di gruppo. L'unico modo per rendere effettiva l'impostazione disabilitata di questo criterio in un sistema in cui è stata abilitata una volta è a) disabilitarla da Criteri di gruppo e b)cancellare il TPM nel sistema.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | UseLegacyDAP_Name |
| Nome descrittivo | Configurare il sistema per l'uso dell'impostazione dei parametri di prevenzione degli attacchi del dizionario legacy per TPM 2.0. |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\TPM |
| Nome del valore del registro | UseLegacyDictionaryAttackParameters |
| Nome file ADMX | TPM.admx |
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per