TPM 群組原則設定

本主題描述可使用 群組原則 設定集中控制的受信任平臺模組 (TPM) 服務。 TPM 服務的 群組原則 設定位於 [計算機>設定] [系統管理範>本] [系統>信任的平臺模組服務] 底下。

設定可供操作系統使用的 TPM 擁有者授權資訊層級

重要

從 Windows 10 1703 版開始,預設值為 5。 這個值會在布建期間實作,讓另一個 Windows 元件可以根據系統設定來刪除它或取得其擁有權。 針對 TPM 2.0,值為 5 表示保留鎖定授權。 對於 TPM 1.2,這表示捨棄完整 TPM 擁有者授權,並只保留委派的授權。

此原則設定已設定哪些 TPM 授權值儲存在本機電腦的登錄中。 需要特定的授權值,才能讓 Windows 執行特定動作。

TPM 1.2 值 TPM 2.0 值 用途 保留在層級 0 嗎? 保留在層級 2? 保留在層級 4?
OwnerAuthAdmin StorageOwnerAuth 建立 SRK
OwnerAuthEndorsement EndorsementAuth 僅建立或使用 EK (1.2:建立 AIK)
OwnerAuthFull LockoutAuth 重設/變更字典攻擊保護

Windows 作業系統管理的 TPM 擁有者驗證設定有三個。 您可以選擇 [ 完整]、[ 委派] 或 [ 無] 值

  • 完整:此設定會將完整的 TPM 擁有者授權、TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob 儲存在本機登錄中。 透過此設定,您可以使用 TPM,而不需要遠端或外部儲存 TPM 擁有者授權值。 此設定適用於不需要重設 TPM 反鐵制邏輯或變更 TPM 擁有者授權值的案例。 某些以 TPM 為基礎的應用程式可能需要先變更此設定,才能使用相依於 TPM 反哈希邏輯的功能。 TPM 1.2 中的完整擁有者授權類似於 TPM 2.0 中的鎖定授權。 擁有者授權對於 TPM 2.0 有不同的意義。

  • 委派:此設定只會將 TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob 儲存在本機登錄中。 此設定適用於相依於 TPM 反哈希邏輯的 TPM 型應用程式。 這是 Windows 1703 版之前的預設設定。

  • :此設定提供與先前操作系統和應用程式的相容性。 您也可以將它用於無法在本機儲存 TPM 擁有者授權的案例。 使用此設定可能會導致某些 TPM 型應用程式發生問題。

注意

如果操作系統管理的 TPM 驗證設定從 [完整 ] 變更為 [委 派],則會重新產生完整的 TPM 擁有者授權值,而且先前設定的 TPM 擁有者授權值的任何複本都將無效。

登錄資訊

登入機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

下表顯示登錄中的 TPM 擁有者授權值。

值數據 設定
0
2 委託
4 完整

如果啟用此原則設定,Windows 作業系統會根據您選擇的 TPM 驗證設定,將 TPM 擁有者授權儲存在本機電腦的登錄中。

在 Windows 10 1607 版之前,如果您停用或未設定此原則設定,而且 [開啟 TPM 備份以 Active Directory 網域服務 原則] 設定也會停用或未設定,則預設設定是將完整的 TPM 授權值儲存在本機登錄中。 如果停用或未設定此原則,且已啟用 [開啟 TPM 備份以 Active Directory 網域服務 原則] 設定,則只有系統管理委派和使用者委派 Blob 會儲存在本機登錄中。

標準使用者鎖定持續時間

此原則設定可讓您管理信賴平臺模組 (TPM) 命令需要授權的標準使用者授權失敗,以分鐘為單位計算的持續時間。 每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 系統會忽略比您設定的持續時間還舊的授權失敗。 如果在鎖定期間內發生授權失敗的 TPM 命令數目等於臨界值,標準使用者將無法將需要授權的命令傳送至 TPM。

TPM 的設計目的是在收到太多具有不正確授權值的命令時進入硬體鎖定模式,以保護自己免於密碼猜測攻擊。 當 TPM 進入鎖定模式時,所有使用者 (全域,包括) 系統管理員,以及 BitLocker 磁碟驅動器加密等 Windows 功能。

此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,方法是讓標準使用者可以傳送需要授權的命令傳送至 TPM 的速度變慢。

針對每個標準使用者,會套用兩個閾值。 超過任一閾值可防止用戶傳送需要授權給 TPM 的命令。 使用下列原則設定來設定鎖定持續時間:

  • 標準使用者個別鎖定閾值:此值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可以擁有的授權失敗數目上限。
  • 標準使用者總鎖定閾值:此值是所有標準使用者在所有標準使用者都不允許將需要授權的命令傳送至 TPM 之前,可以擁有的最大授權失敗總數。

具有 TPM 擁有者密碼的系統管理員可以使用 Windows Defender 資訊安全中心完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗。 這可讓標準使用者立即正常使用 TPM。

如果您未設定此原則設定,則會使用預設值 480 分鐘 (8 小時) 。

標準用戶個別鎖定閾值

此原則設定可讓您管理信賴平臺模組 (TPM) 每個標準使用者的授權失敗數目上限。 此值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可以擁有的授權失敗數目上限。 如果使用者在標準 使用者鎖定持續 時間原則設定期間內的授權失敗數目等於此值,則會防止標準使用者將需要授權的命令傳送至信賴平臺模組 (TPM) 。

此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,方法是讓標準使用者可以傳送需要授權的命令傳送至 TPM 的速度變慢。

每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過持續時間的授權失敗會被忽略。

具有 TPM 擁有者密碼的系統管理員可以使用 Windows Defender 資訊安全中心完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗。 這可讓標準使用者立即正常使用 TPM。

如果您未設定此原則設定,則會使用預設值 4。 值為零表示操作系統不允許標準使用者將命令傳送至 TPM,這可能會導致授權失敗。

標準使用者總鎖定閾值

此原則設定可讓您管理信賴平臺模組 (TPM) 之所有標準使用者的授權失敗數目上限。 如果標準使用者 鎖定持續 時間原則設定期間內所有標準使用者的授權失敗總數等於此值,則所有標準使用者都無法將需要授權的命令傳送至信賴平臺模組 (TPM) 。

此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會降低標準使用者可以傳送要求授權的命令至 TPM 的速度。

每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過持續時間的授權失敗會被忽略。

具有 TPM 擁有者密碼的系統管理員可以使用 Windows Defender 資訊安全中心完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗。 這可讓標準使用者立即正常使用 TPM。

如果您未設定此原則設定,則會使用預設值 9。 值為零表示操作系統不允許標準使用者將命令傳送至 TPM,這可能會導致授權失敗。

將系統設定為使用 TPM 2.0 的舊版字典攻擊防護參數設定

在 Windows 10 1703 版中引進,此原則設定會將 TPM 設定為使用字典攻擊防護參數 (鎖定閾值和復原時間) Windows 10 版本 1607 及以下版本所使用的值。

重要

只有在下列狀況下,設定此原則才會生效:

  • TPM 原本是在 Windows 10 1607 版之後使用 Windows 版本來準備
  • 系統具有 TPM 2.0。

注意

啟用此原則只會在 TPM 維護工作執行之後生效 (通常會在系統重新啟動) 之後發生。 一旦在系統上啟用此原則,並在系統重新啟動) 後生效 (,停用它將不會有任何影響,而且不論此組策略的值為何,系統 TPM 都會使用舊版字典攻擊防護參數維持設定。 在啟用此原則的系統上,停用此原則設定生效的唯一方式是:

  • 從組策略停用
  • 清除系統上的 TPM

Windows 安全性 中的 TPM 群組原則 設定

您可以變更使用者在 Windows 安全性 中看到 TPM 的內容。 Windows 安全性 中 TPM 區域的 群組原則 設定位於電腦設定系統管理範>本Windows 元件>Windows 安全性>裝置安全性之下>。

停用 [清除 TPM] 按鈕

如果您不想讓使用者在 Windows 安全性 中按兩下 [清除 TPM] 按鈕,您可以使用此 群組原則 設定加以停用。 選 取 [已啟用 ],讓 [清除 TPM ] 按鈕無法使用。

隱藏 TPM 韌體更新建議

如果您不想讓使用者看到更新 TPM 韌體的建議,您可以使用此設定加以停用。 選 取 [啟用 ] 以防止使用者在偵測到易受攻擊的韌體時看到更新其 TPM 韌體的建議。