Поставщик служб CSP политики — ADMX_TPM
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
BlockedCommandsList_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
Этот параметр политики позволяет управлять групповая политика списком команд доверенного платформенного модуля (TPM), заблокированных Windows.
Если этот параметр политики включен, Windows заблокирует отправку указанных команд в доверенный платформенный модуль на компьютере. На команды доверенного платформенного модуля указывает номер команды. Например, номер команды 129 — TPM_OwnerReadInternalPub, а номер 170 — TPM_FieldUpgrade. Чтобы найти номер команды, связанной с каждой командой доверенного платформенного модуля с TPM 1.2, выполните команду "tpm.msc" и перейдите к разделу "Управление командами".
Если этот параметр политики отключен или не настроен, Windows может заблокировать только команды доверенного платформенного модуля, указанные в списках по умолчанию или локальных списках. Список заблокированных команд доверенного платформенного платформенного модуля по умолчанию предварительно настроен Windows. Список по умолчанию можно просмотреть, запустив "tpm.msc", перейдя в раздел "Управление командами" и сделав видимым столбец "Список блокировок по умолчанию". Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается за пределами групповая политика путем запуска "tpm.msc" или с помощью скриптов в интерфейсе Win32_Tpm. Ознакомьтесь со связанными параметрами политики, чтобы применить или игнорировать локальные списки по умолчанию и локальные списки заблокированных команд доверенного платформенного модуля.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | BlockedCommandsList_Name |
| Понятное имя | Настройка списка заблокированных команд доверенного платформенного модуля |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| Имя значения реестра | Enabled |
| Имя файла ADMX | TPM.admx |
ClearTPMIfNotReady_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
Этот параметр политики настраивает систему, чтобы предложить пользователю очистить TPM, если TPM находится в состоянии, отличном от готовности. Эта политика вступит в силу только в том случае, если TPM системы находится в состоянии, отличном от Готовности, в том числе если доверенный платформенный модуль имеет значение "Готово, с ограниченными возможностями". Запрос на очистку доверенного платформенного модуля начнется после следующей перезагрузки при входе пользователя только в том случае, если вошедший в систему пользователь входит в группу администраторов системы. Запрос можно отклонить, но он будет появляться после каждой перезагрузки и входа до тех пор, пока политика не будет отключена или пока доверенный платформенный модуль не будет находиться в состоянии Готовности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ClearTPMIfNotReady_Name |
| Понятное имя | Настройте систему для очистки доверенного платформенного модуля, если он не находится в состоянии готовности. |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\TPM |
| Имя значения реестра | ClearTPMIfNotReadyGP |
| Имя файла ADMX | TPM.admx |
IgnoreDefaultList_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
Этот параметр политики позволяет принудительно применять или игнорировать список заблокированных команд доверенного платформенного модуля (TPM) компьютера по умолчанию.
- Если этот параметр политики включен, Windows проигнорирует список заблокированных команд доверенного платформенного модуля компьютера по умолчанию и заблокирует только команды доверенного платформенного модуля, указанные в групповая политика или локальном списке.
Список заблокированных команд доверенного платформенного платформенного модуля по умолчанию предварительно настроен Windows. Список по умолчанию можно просмотреть, запустив "tpm.msc", перейдя в раздел "Управление командами" и сделав видимым столбец "Список блокировок по умолчанию". Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается за пределами групповая политика путем запуска "tpm.msc" или с помощью скриптов в интерфейсе Win32_Tpm. См. связанный параметр политики, чтобы настроить групповая политика список заблокированных команд доверенного платформенного модуля.
- Если этот параметр политики отключен или не настроен, Windows заблокирует команды доверенного платформенного модуля в списке по умолчанию в дополнение к командам в групповая политика и локальным спискам заблокированных команд доверенного платформенного модуля.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | IgnoreDefaultList_Name |
| Понятное имя | Игнорировать список заблокированных команд доверенного платформенного модуля по умолчанию |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\TPM\BlockedCommands |
| Имя значения реестра | IgnoreDefaultList |
| Имя файла ADMX | TPM.admx |
IgnoreLocalList_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
Этот параметр политики позволяет принудительно применять или игнорировать локальный список заблокированных команд доверенного платформенного модуля (TPM) компьютера.
- Если этот параметр политики включен, Windows проигнорирует локальный список заблокированных команд доверенного платформенного модуля компьютера и заблокирует только команды доверенного платформенного модуля, указанные в групповая политика или списке по умолчанию.
Локальный список заблокированных команд доверенного платформенного платформенного модуля настраивается за пределами групповая политика путем запуска "tpm.msc" или с помощью скриптов в интерфейсе Win32_Tpm. Список заблокированных команд доверенного платформенного платформенного модуля по умолчанию предварительно настроен Windows. См. связанный параметр политики, чтобы настроить групповая политика список заблокированных команд доверенного платформенного модуля.
- Если этот параметр политики отключен или не настроен, Windows заблокирует команды доверенного платформенного модуля, найденные в локальном списке, в дополнение к командам в групповая политика и спискам по умолчанию заблокированных команд доверенного платформенного модуля.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | IgnoreLocalList_Name |
| Понятное имя | Игнорировать локальный список заблокированных команд доверенного платформенного модуля |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\TPM\BlockedCommands |
| Имя значения реестра | IgnoreLocalList |
| Имя файла ADMX | TPM.admx |
OptIntoDSHA_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
Эта групповая политика включает отчеты об аттестации работоспособности устройств (DHA-report) на поддерживаемых устройствах. Он позволяет поддерживаемым устройствам отправлять сведения, связанные с аттестацией работоспособности устройств (журналы загрузки устройств, значения PCR, сертификат доверенного платформенного модуля и т. д.) в службу аттестации работоспособности устройств (DHA-Service) при каждом запуске устройства. Служба аттестации работоспособности устройств проверяет состояние безопасности и работоспособность устройств, а также делает полученные результаты доступными для администраторов предприятия с помощью облачного портала отчетов. Эта политика не зависит от отчетов DHA, инициированных решениями управления устройствами (например, MDM или SCCM), и не будет мешать их рабочим процессам.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | OptIntoDSHA_Name |
| Понятное имя | Включение мониторинга и создания отчетов по аттестации работоспособности устройств |
| Location | Конфигурация компьютера |
| Путь | Служба аттестации работоспособности системных > устройств |
| Имя раздела реестра | Software\Policies\Microsoft\DeviceHealthAttestationService |
| Имя значения реестра | EnableDeviceHealthAttestationService |
| Имя файла ADMX | TPM.admx |
OSManagedAuth_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
Этот параметр политики определяет, сколько сведений об авторизации владельца доверенного платформенного модуля хранится в реестре локального компьютера. В зависимости от объема сведений об авторизации владельца доверенного платформенного модуля, хранящихся локально, операционная система и приложения на основе доверенного платформенного модуля могут выполнять определенные действия, требующие авторизации владельца доверенного платформенного модуля, не требуя от пользователя вводить пароль владельца доверенного платформенного модуля.
Вы можете выбрать, чтобы операционная система хранила полное значение авторизации владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля или нет.
Если этот параметр политики включен, Windows сохранит авторизацию владельца доверенного платформенного модуля в реестре локального компьютера в соответствии с выбранным параметром проверки подлинности доверенного платформенного модуля, управляемого операционной системой.
Выберите параметр проверки подлинности доверенного платформенного модуля, управляемого операционной системой, значение "Full", чтобы сохранить полную авторизацию владельца доверенного платформенного модуля, большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля в локальном реестре. Этот параметр позволяет использовать TPM без необходимости удаленного или внешнего хранилища значения авторизации владельца доверенного платформенного модуля. Этот параметр подходит для сценариев, которые не зависят от предотвращения сброса логики защиты доверенного платформенного модуля или изменения значения авторизации владельца доверенного платформенного модуля. Для некоторых приложений на основе доверенного платформенного модуля может потребоваться изменить этот параметр, прежде чем можно будет использовать функции, зависящие от логики защиты доверенного платформенного модуля.
Выберите параметр проверки подлинности управляемого доверенного платформенного модуля операционной системы "Делегировано", чтобы сохранить в локальном реестре только большой двоичный объект административного делегирования доверенного платформенного модуля и большой двоичный объект делегирования пользователя доверенного платформенного модуля. Этот параметр подходит для использования с приложениями на основе доверенного платформенного модуля, которые зависят от логики защиты доверенного платформенного модуля.
Выберите параметр проверки подлинности доверенного платформенного модуля под управлением операционной системы значение None для совместимости с предыдущими операционными системами и приложениями или для использования в сценариях, требующих авторизации владельца доверенного платформенного модуля, не сохраняемых локально. Использование этого параметра может вызвать проблемы с некоторыми приложениями на основе доверенного платформенного модуля.
Примечание.
Если параметр проверки подлинности доверенного платформенного платформенного модуля, управляемый операционной системой, изменен с "Полный" на "Делегировано", то будет повторно создано полное значение авторизации владельца доверенного платформенного модуля, а все копии исходного значения авторизации владельца доверенного платформенного модуля будут недопустимыми.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | OSManagedAuth_Name |
| Понятное имя | Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных операционной системе |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\TPM |
| Имя файла ADMX | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
Этот параметр политики позволяет управлять длительностью в минутах для подсчета сбоев авторизации стандартного пользователя для команд доверенного платформенного модуля (TPM), требующих авторизации. Если количество команд доверенного платформенного платформенного модуля со сбоем авторизации в течение длительности равно пороговой, стандартный пользователь не может отправлять команды, требующие авторизации, в доверенный платформенный модуль.
Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.
Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше этого срока игнорируются.
Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит стандартному пользователю отправить команду доверенному платформенного модуля, требующую авторизации.
Индивидуальное пороговое значение блокировки стандартного пользователя — это максимальное число сбоев авторизации, которые могут возникнуть у каждого стандартного пользователя, прежде чем пользователю не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.
Пороговое значение блокировки стандартного пользователя — это максимальное общее число сбоев авторизации, которые могут возникнуть у всех стандартных пользователей, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.
TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей, включая администраторов и функции Windows, такие как шифрование диска BitLocker. Количество сбоев авторизации, которые допускает доверенный платформенный модуль, и время его блокировки зависят от производителя доверенного платформенного модуля. Некоторые TTPM могут переходить в режим блокировки в течение последовательно более длительных периодов времени с меньшим количеством сбоев авторизации в зависимости от прошлых сбоев. Для выхода из режима блокировки для некоторых TTPM может потребоваться перезагрузка системы. Для других TPM может потребоваться, чтобы система была включена, чтобы прошло достаточное количество циклов часов, прежде чем доверенный платформенный модуль выйдет из режима блокировки.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью консоли управления TPM (tpm.msc). Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. позволяет обычным пользователям использовать TPM в обычном режиме немедленно.
Если это значение не настроено, используется значение по умолчанию 480 минут (8 часов).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | StandardUserAuthorizationFailureDuration_Name |
| Понятное имя | Длительность блокировки стандартного пользователя |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\Tpm |
| Имя значения реестра | StandardUserAuthorizationFailureDuration |
| Имя файла ADMX | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для каждого стандартного пользователя для доверенного платформенного модуля (TPM). Если это значение равно количеству сбоев авторизации для пользователя в течение длительности блокировки стандартного пользователя, стандартный пользователь не может отправлять команды в доверенный платформенный модуль (TPM), для которых требуется авторизация.
Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.
Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.
Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит стандартному пользователю отправить команду доверенному платформенного модуля, требующую авторизации.
Это значение является максимальным числом сбоев авторизации, которые могут возникнуть у каждого стандартного пользователя, прежде чем пользователю не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.
Пороговое значение блокировки стандартного пользователя — это максимальное общее число сбоев авторизации, которые могут возникнуть у всех стандартных пользователей, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.
TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей, включая администраторов и функции Windows, такие как шифрование диска BitLocker. Количество сбоев авторизации, которые допускает доверенный платформенный модуль, и время его блокировки зависят от производителя доверенного платформенного модуля. Некоторые TTPM могут переходить в режим блокировки в течение последовательно более длительных периодов времени с меньшим количеством сбоев авторизации в зависимости от прошлых сбоев. Для выхода из режима блокировки для некоторых TTPM может потребоваться перезагрузка системы. Для других TPM может потребоваться, чтобы система была включена, чтобы прошло достаточное количество циклов часов, прежде чем доверенный платформенный модуль выйдет из режима блокировки.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью консоли управления TPM (tpm.msc). Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. позволяет обычным пользователям использовать TPM в обычном режиме немедленно.
Если это значение не настроено, используется значение по умолчанию 4.
Нулевое значение означает, что ОС не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | StandardUserAuthorizationFailureIndividualThreshold_Name |
| Понятное имя | Пороговое значение блокировки для отдельных пользователей категории "Стандартный" |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\Tpm |
| Имя значения реестра | StandardUserAuthorizationFailureIndividualThreshold |
| Имя файла ADMX | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
Этот параметр политики позволяет управлять максимальным числом сбоев авторизации для всех стандартных пользователей доверенного платформенного модуля (TPM). Если общее число сбоев авторизации для всех стандартных пользователей в течение длительности блокировки стандартного пользователя равно этому значению, все стандартные пользователи не могут отправлять команды в доверенный платформенный модуль (TPM), для которых требуется авторизация.
Этот параметр помогает администраторам предотвратить переход оборудования доверенного платформенного модуля в режим блокировки, так как он замедляет скорость отправки стандартными пользователями команд, требующих авторизации в TPM.
Сбой авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенного модуля и получает ответ об ошибке, указывающий на сбой авторизации. Сбои авторизации старше длительности игнорируются.
Для каждого стандартного пользователя применяются два пороговых значения. Превышение любого порогового значения не позволит стандартному пользователю отправить команду доверенному платформенного модуля, требующую авторизации.
Значение индивидуальной блокировки стандартного пользователя — это максимальное число сбоев авторизации, которые могут возникнуть у каждого стандартного пользователя до того, как пользователю не будет разрешено отправлять команды, требующие авторизации, в доверенный платформенный модуль.
Это значение является максимальным общим числом сбоев авторизации, которые могут возникнуть у всех стандартных пользователей, прежде чем всем стандартным пользователям не будет разрешено отправлять команды, требующие авторизации в TPM.
TPM предназначен для защиты от атак с угадыванием паролей путем ввода аппаратного режима блокировки, когда он получает слишком много команд с неправильным значением авторизации. Когда доверенный платформенный модуль переходит в режим блокировки, он является глобальным для всех пользователей, включая администраторов и функции Windows, такие как шифрование диска BitLocker. Количество сбоев авторизации, которые допускает доверенный платформенный модуль, и время его блокировки зависят от производителя доверенного платформенного модуля. Некоторые TTPM могут переходить в режим блокировки в течение последовательно более длительных периодов времени с меньшим количеством сбоев авторизации в зависимости от прошлых сбоев. Для выхода из режима блокировки для некоторых TTPM может потребоваться перезагрузка системы. Для других TPM может потребоваться, чтобы система была включена, чтобы прошло достаточное количество циклов часов, прежде чем доверенный платформенный модуль выйдет из режима блокировки.
Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки доверенного платформенного модуля с помощью консоли управления TPM (tpm.msc). Каждый раз, когда администратор сбрасывает логику аппаратной блокировки доверенного платформенного модуля, все предыдущие сбои авторизации доверенного платформенного модуля стандартного пользователя игнорируются. позволяет обычным пользователям использовать TPM в обычном режиме немедленно.
Если это значение не настроено, используется значение по умолчанию 9.
Нулевое значение означает, что ОС не позволит стандартным пользователям отправлять команды доверенному платформенного модуля, что может привести к сбою авторизации.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | StandardUserAuthorizationFailureTotalThreshold_Name |
| Понятное имя | Пороговое значение общего числа блокировок для обычных пользователей |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\Tpm |
| Имя значения реестра | StandardUserAuthorizationFailureTotalThreshold |
| Имя файла ADMX | TPM.admx |
UseLegacyDAP_Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
Этот параметр политики настраивает доверенный платформенный модуль для использования параметров защиты от атак в словаре (пороговое значение блокировки и время восстановления) для значений, которые использовались для Windows 10 версии 1607 и ниже. Установка этой политики вступит в силу только в том случае, если: ) TPM изначально был подготовлен с использованием версии Windows после Windows 10 версии 1607 и b) в системе есть TPM 2.0. Обратите внимание, что включение этой политики вступит в силу только после выполнения задачи обслуживания доверенного платформенного модуля (что обычно происходит после перезапуска системы). После включения этой политики в системе и ее применения (после перезапуска системы) ее отключение не повлияет, и доверенный платформенный модуль системы будет по-прежнему настроен с помощью устаревших параметров защиты от атак словаря, независимо от значения этой групповой политики. Единственный способ применения отключенного параметра этой политики в системе, в которой он был включен, — это а) отключить его из групповой политики и б)очистить TPM в системе.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | UseLegacyDAP_Name |
| Понятное имя | Настройте систему для использования устаревших параметров защиты от атак в словаре для TPM 2.0. |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\TPM |
| Имя значения реестра | UseLegacyDictionaryAttackParameters |
| Имя файла ADMX | TPM.admx |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по