TPM 그룹 정책 설정

이 항목에서는 그룹 정책 설정을 사용하여 중앙에서 제어할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈) 서비스에 대해 설명합니다. TPM 서비스에 대한 그룹 정책 설정은 컴퓨터 구성>관리 템플릿>시스템>신뢰할 수 있는 플랫폼 모듈 서비스 아래에 있습니다.

운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성

중요

Windows 10 버전 1703부터 기본값은 5입니다. 이 값은 다른 Windows 구성 요소가 시스템 구성에 따라 삭제하거나 소유권을 가져올 수 있도록 프로비전하는 동안 구현됩니다. TPM 2.0의 경우 값이 5이면 잠금 권한 부여를 유지합니다. TPM 1.2의 경우 전체 TPM 소유자 권한 부여를 취소하고 위임된 권한 부여만 유지한다는 의미입니다.

이 정책 설정은 로컬 컴퓨터의 레지스트리에 저장되는 TPM 권한 부여 값을 구성했습니다. Windows에서 특정 작업을 수행할 수 있도록 하려면 특정 권한 부여 값이 필요합니다.

TPM 1.2 값 TPM 2.0 값 용도 수준 0에서 유지? 수준 2에 유지? 수준 4에서 유지?
OwnerAuthAdmin StorageOwnerAuth SRK 만들기 아니오
OwnerAuthEndorsement EndorsementAuth EK 만들기 또는 사용(1.2만 해당: AIK 만들기) 아니오
OwnerAuthFull LockoutAuth 사전 공격 보호 다시 설정/변경 아니오 아니오

Windows 운영 체제에서 관리하는 세 가지 TPM 소유자 인증 설정이 있습니다. 전체, 대리자 또는 없음 값을 선택할 수 있습니다.

  • 전체: 이 설정은 전체 TPM 소유자 권한 부여, TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob을 로컬 레지스트리에 저장합니다. 이 설정을 사용하면 TPM 소유자 권한 부여 값의 원격 또는 외부 스토리지 없이 TPM을 사용할 수 있습니다. 이 설정은 TPM 망치 방지 논리를 다시 설정하거나 TPM 소유자 권한 부여 값을 변경할 필요가 없는 시나리오에 적합합니다. 일부 TPM 기반 애플리케이션은 TPM 망치 방지 논리에 의존하는 기능을 사용하기 전에 이 설정을 변경해야 할 수 있습니다. TPM 1.2의 전체 소유자 권한 부여는 TPM 2.0의 잠금 권한 부여와 유사합니다. 소유자 권한 부여는 TPM 2.0에 대해 다른 의미가 있습니다.

  • 위임됨: 이 설정은 로컬 레지스트리에 TPM 관리 위임 Blob 및 TPM 사용자 위임 Blob만 저장합니다. 이 설정은 TPM 앤티해머링 방지 논리에 의존하는 TPM 기반 애플리케이션에 사용하기에 적합합니다. 이는 버전 1703 이전 Windows의 기본 설정입니다.

  • 없음: 이 설정은 이전 운영 체제 및 애플리케이션과의 호환성을 제공합니다. TPM 소유자 권한 부여를 로컬로 저장할 수 없는 시나리오에도 사용할 수 있습니다. 이 설정을 사용하면 일부 TPM 기반 애플리케이션에 문제가 발생할 수 있습니다.

참고

운영 체제 관리 TPM 인증 설정이 전체 에서 위임됨으로 변경되면 전체 TPM 소유자 권한 부여 값이 다시 생성되고 이전에 설정된 TPM 소유자 권한 부여 값의 복사본이 잘못됩니다.

레지스트리 정보

레지스트리 키: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

다음 표에는 레지스트리의 TPM 소유자 권한 부여 값이 나와 있습니다.

값 데이터 설정
0 없음
2 위임
4 전체

이 정책 설정을 사용하도록 설정하면 Windows 운영 체제는 선택한 TPM 인증 설정에 따라 로컬 컴퓨터의 레지스트리에 TPM 소유자 권한 부여를 저장합니다.

버전 1607 이전 Windows 10 이 정책 설정을 사용하지 않거나 구성하지 않고 TPM 백업을 Active Directory Domain Services 정책 설정도 사용하지 않도록 설정하거나 구성하지 않으면 기본 설정은 전체 TPM 권한 부여 값을 로컬 레지스트리에 저장하는 것입니다. 이 정책을 사용하지 않거나 구성하지 않고 TPM 백업을 Active Directory Domain Services 정책 설정이 사용하도록 설정된 경우 관리 위임 및 사용자 위임 Blob만 로컬 레지스트리에 저장됩니다.

표준 사용자 잠금 기간

이 정책 설정을 사용하면 권한 부여가 필요한 TPM(신뢰할 수 있는 플랫폼 모듈) 명령에 대한 표준 사용자 권한 부여 실패를 계산하기 위한 기간을 분 단위로 관리할 수 있습니다. 인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 설정한 기간보다 오래된 권한 부여 실패는 무시됩니다. 잠금 기간 내에 권한 부여 실패가 있는 TPM 명령 수가 임계값과 같으면 표준 사용자가 TPM에 대한 권한 부여가 필요한 명령을 보낼 수 없습니다.

TPM은 잘못된 권한 부여 값으로 너무 많은 명령을 수신할 때 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 자신을 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 모든 사용자(관리자 포함)와 BitLocker 드라이브 암호화와 같은 Windows 기능에 대해 전역입니다.

이 설정을 통해 관리자는 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도를 늦추어 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.

각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값을 초과하면 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없습니다. 다음 정책 설정을 사용하여 잠금 기간을 설정합니다.

  • 표준 사용자 개별 잠금 임계값: 이 값은 사용자가 TPM에 대한 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다.
  • 표준 사용자 총 잠금 임계값: 이 값은 모든 표준 사용자가 TPM에 대한 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 모든 표준 사용자가 가질 수 있는 최대 총 권한 부여 실패 수입니다.

TPM 소유자 암호를 가진 관리자는 Windows Defender Security Center를 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 이렇게 하면 표준 사용자가 TPM을 정상적으로 즉시 사용할 수 있습니다.

이 정책 설정을 구성하지 않으면 기본값인 480분(8시간)이 사용됩니다.

표준 사용자 개별 잠금 임계값

이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)의 각 표준 사용자에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 이 값은 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 없도록 하기 전에 각 표준 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다. 표준 사용자 잠금 기간 정책 설정에 대해 설정된 기간 내 사용자의 권한 부여 실패 수가 이 값과 같으면 표준 사용자는 TPM(신뢰할 수 있는 플랫폼 모듈)에 권한 부여가 필요한 명령을 보낼 수 없습니다.

이 설정을 통해 관리자는 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도를 늦추어 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.

인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 기간보다 오래된 권한 부여 실패는 무시됩니다.

TPM 소유자 암호를 가진 관리자는 Windows Defender Security Center를 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 이렇게 하면 표준 사용자가 TPM을 정상적으로 즉시 사용할 수 있습니다.

이 정책 설정을 구성하지 않으면 기본값인 4가 사용됩니다. 값이 0이면 운영 체제에서 표준 사용자가 TPM에 명령을 보낼 수 없으므로 권한 부여 오류가 발생할 수 있습니다.

표준 사용자 총 잠금 임계값

이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)의 모든 표준 사용자에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 표준 사용자 잠금 기간 정책에 대해 설정된 기간 내의 모든 표준 사용자에 대한 총 권한 부여 실패 수가 이 값과 같으면 모든 표준 사용자가 TPM(신뢰할 수 있는 플랫폼 모듈)에 권한 부여가 필요한 명령을 보낼 수 없습니다.

이 설정을 사용하면 표준 사용자가 TPM에 권한 부여가 필요한 명령을 보낼 수 있는 속도가 느려지기 때문에 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지할 수 있습니다.

인증 실패는 표준 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 발생합니다. 기간보다 오래된 권한 부여 실패는 무시됩니다.

TPM 소유자 암호를 가진 관리자는 Windows Defender Security Center를 사용하여 TPM의 하드웨어 잠금 논리를 완전히 재설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패는 무시됩니다. 이렇게 하면 표준 사용자가 TPM을 정상적으로 즉시 사용할 수 있습니다.

이 정책 설정을 구성하지 않으면 기본값인 9가 사용됩니다. 값이 0이면 운영 체제에서 표준 사용자가 TPM에 명령을 보낼 수 없으므로 권한 부여 오류가 발생할 수 있습니다.

TPM 2.0에 대한 레거시 사전 공격 방지 매개 변수 설정을 사용하도록 시스템 구성

Windows 10 버전 1703에서 도입된 이 정책 설정은 사전 공격 방지 매개 변수(잠금 임계값 및 복구 시간)를 Windows 10 버전 1607 이하에 사용된 값으로 사용하도록 TPM을 구성합니다.

중요

이 정책 설정은 다음 경우에만 적용됩니다.

  • TPM은 원래 버전 1607을 Windows 10 후 Windows 버전을 사용하여 준비되었습니다.
  • 시스템에 TPM 2.0이 있습니다.

참고

이 정책을 사용하도록 설정하면 TPM 유지 관리 작업이 실행된 후에만 적용됩니다(일반적으로 시스템을 다시 시작한 후에 발생). 시스템에서 이 정책을 사용하도록 설정하고(시스템을 다시 시작한 후) 사용하지 않도록 설정하면 영향을 주지 않으며 이 그룹 정책의 값에 관계없이 레거시 사전 공격 방지 매개 변수를 사용하여 시스템의 TPM이 구성된 상태로 유지됩니다. 이 정책의 비활성화된 설정을 한 번 사용하도록 설정한 시스템에 적용할 수 있는 유일한 방법은 다음 중 하나를 사용하는 것입니다.

  • 그룹 정책에서 사용하지 않도록 설정
  • 시스템에서 TPM 지우기

Windows 보안 TPM 그룹 정책 설정

Windows 보안 TPM에 대해 사용자에게 표시되는 내용을 변경할 수 있습니다. Windows 보안 TPM 영역에 대한 그룹 정책 설정은 컴퓨터 구성관리 템플릿>Windows 구성> 요소>Windows 보안>디바이스 보안 아래에 있습니다.

TPM 지우기 단추 사용 안 함

사용자가 Windows 보안 TPM 지우기 단추를 클릭할 수 없도록 하려면 이 그룹 정책 설정을 사용하여 사용하지 않도록 설정할 수 있습니다. 사용을 선택하여 TPM 지우기 단추를 사용할 수 없도록 합니다.

TPM 펌웨어 업데이트 권장 사항 숨기기

사용자가 TPM 펌웨어를 업데이트하는 권장 사항을 볼 수 없도록 하려면 이 설정을 사용하여 사용하지 않도록 설정할 수 있습니다. 취약한 펌웨어 가 검색될 때 사용자가 TPM 펌웨어를 업데이트하는 권장 사항을 볼 수 없도록 하려면 사용을 선택합니다.