Win32_Tpm 类的 AddBlockedCommand 方法
Win32_Tpm 类的 AddBlockedCommand 方法将 TPM 命令添加到阻止在操作系统上运行的命令的本地列表。
注意
默认情况下,操作系统会阻止一组预定义的命令运行。 对此默认值的更改可能会影响计算机的安全性、隐私或功能。
语法
uint32 AddBlockedCommand(
[in] uint32 CommandOrdinal
);
parameters
-
CommandOrdinal [in]
-
类型: uint32
一个指定 TPM 命令的整数值。 如果 TPM 支持的命令数超过列出的命令数,还可以指定新命令的序号。
值 含义 - TPM_ActivateIdentity
- 122 (0x7A)
允许 TPM 所有者解包允许解密证明标识密钥凭据的会话密钥,从而获得凭据对 TPM 有效的保证。 - TPM_AuthorizeMigrationKey
- 43 (0x2B)
允许 TPM 所有者创建迁移授权票证,以便用户无需 TPM 所有者参与即可迁移密钥。 - TPM_CertifyKey
- 50 (0x32)
使用另一个密钥的公共部分验证由 TPM_LoadKey2 创建的已加载密钥。 TPM 标识密钥只能认证无法迁移的密钥,而签名和旧密钥可以认证所有密钥。 - TPM_CertifyKey2
- 51 (0x33)
基于TPM_CertifyKey,但包括用于认证可认证的迁移密钥 (CMK) 的额外参数。 - TPM_CertifySelfTest
- 82 (0x52)
执行完整的自测试,如果测试通过,则返回经过身份验证的值。 不会针对 TPM 版本 1.2 升级此命令。 默认情况下会阻止此值。 - TPM_ChangeAuth
- 12 (0xC)
允许实体的所有者 (例如 TPM 密钥) 更改该实体的授权值。 - TPM_ChangeAuthAsymFinish
- 15 (0xF)
通过与 TPM 建立传输会话并运行 TPM_ChangeAuth 命令来取代。 默认情况下会阻止此值。 - TPM_ChangeAuthAsymStart
- 14 (0xE)
通过与 TPM 建立传输会话并运行 TPM_ChangeAuth 命令来取代。 默认情况下会阻止此值。 - TPM_ChangeAuthOwner
- 16 (0x10)
允许 TPM 所有者更改 TPM 所有者授权值或存储根密钥授权值。 - TPM_CMK_ApproveMA
- 29 (0x1D)
允许 TPM 所有者为一个或多个迁移选择或迁移机构创建授权票证,以便用户可以使用 TPM_CMK_CreateKey) (创建可认证的迁移密钥,而无需 TPM 所有者参与。 - TPM_CMK_ConvertMigration
- 36 (0x24)
创建一个可认证的迁移密钥 BLOB ,可以使用 TPM_LoadKey2 命令将其加载到另一台计算机上。 为此命令提供一个随机数,且可认证的迁移密钥的迁移 BLOB (使用 TPM_CMK_CreateBlob) 生成。 - TPM_CMK_CreateBlob
- 27 (0x1B)
允许知道可认证迁移密钥的迁移授权票证的实体 (通过使用TPM_CMK_CreateTicket) 可认证的迁移密钥生成的 (使用 TPM_CMK_CreateKey) 生成,以创建将密钥移动到新计算机或父密钥所需的迁移 BLOB。 - TPM_CMK_CreateKey
- 19 (0x13)
使用使用 TPM_CMK_ApproveMA) 生成的一个或多个迁移选择或迁移机构 (的授权票证生成安全的非对称可认证的迁移密钥。 - TPM_CMK_CreateTicket
- 18 (0x12)
允许 TPM 所有者使用提供的公钥为可认证的迁移密钥创建签名验证票证。 此票证与由 TPM_CMK_CreateKey) 生成的可认证的迁移密钥 (一起使用,以创建将密钥移动到新计算机或父密钥所需的迁移 BLOB。 - TPM_CMK_SetRestrictions
- 28 (0x1C)
允许 TPM 所有者指定TPM_CMK_CreateKey) 生成的可认证迁移密钥 (的用法。 - TPM_ContinueSelfTest
- 83 (0x53)
通知 TPM,它可能会完成在开机自测试期间未测试的所有 TPM 函数的自测试。 - TPM_ConvertMigrationBlob
- 42 (0x2A)
使用 TPM_LoadKey2 命令创建可加载到另一台计算机上的 密钥 BLOB 。 为此命令提供一个随机数,密钥的迁移 BLOB (使用 TPM_CreateMigrationBlob) 生成。 - TPM_CreateCounter
- 220 (0xDC)
允许 TPM 所有者创建新的单调计数器,向该计数器分配授权值,将 TPM 的内部计数器值递增 1,并将新计数器的起始值设置为更新的内部值。 - TPM_CreateEndorsementKeyPair
- 120 (0x78)
如果此密钥尚不存在,则创建 TPM 认可密钥。 - TPM_CreateMaintenanceArchive
- 44 (0x2C)
允许 TPM 所有者创建维护存档,以便迁移 TPM 保留的所有数据。 此数据包括存储根密钥和 TPM 所有者授权。 - TPM_CreateMigrationBlob
- 40 (0x28)
允许知道由 TPM_CMK_CreateTicket) 创建的密钥 (迁移授权票证的实体创建将迁移密钥移动到新计算机或父密钥所需的迁移 BLOB。 - TPM_CreateRevocableEK
- 127 (0x7F)
创建 TPM 认可密钥。 用户还可以指定是否可以重置认可密钥,如果是,则重置此密钥所需的授权值 (如果 TPM) 不生成此值。 这是计算机制造商可能不支持的可选命令。 - TPM_CreateWrapKey
- 31 (0x1F)
生成并创建安全的非对称密钥。 - TPM_DAA_JOIN
- 41 (0x29)
允许 TPM 所有者在特定 DAA 颁发机构的 TPM 中建立直接匿名证明 (DAA) 参数。 - TPM_DAA_SIGN
- 49 (0x31)
允许 TPM 所有者使用直接匿名证明对数据进行签名。 - TPM_Delegate_CreateKeyDelegation
- 212 (0xD4)
允许密钥的所有者委托使用该密钥的权限。 - TPM_Delegate_CreateOwnerDelegation
- 213 (0xD5)
允许 TPM 所有者委托特权来运行通常需要所有者授权的命令。 - TPM_Delegate_LoadOwnerDelegation
- 216 (0xD8)
允许 TPM 所有者将委托表的一行加载到 TPM 的非易失存储中。 此命令不能用于将密钥委派 BLOB 加载到 TPM 中。 - TPM_Delegate_Manage
- 210 (0xD2)
允许 TPM 所有者管理委派系列表。 在对家庭表运行委派命令之前,必须至少运行一次此命令。 - TPM_Delegate_ReadTable
- 219 (0xDB)
读取存储在 TPM 上的系列和委托表的公共内容。 - TPM_Delegate_UpdateVerification
- 209 (0xD1)
允许 TPM 所有者更新委派实体,以便 TPM 继续接受该实体。 - TPM_Delegate_VerifyDelegation
- 214 (0xD6)
解释委托 BLOB 并返回该 BLOB 当前是否有效。 - TPM_DirRead
- 26 (0x1A)
由 TPM_NV_ReadValue 和 TPM_NV_ReadValueAuth 命令取代。 默认情况下会阻止此值。 - TPM_DirWriteAuth
- 25 (0x19)
由 TPM_NV_WriteValue 和 TPM_NV_WriteValueAuth 命令取代。 默认情况下会阻止此值。 - TPM_DisableForceClear
- 94 (0x5E)
禁用运行 TPM_ForceClear 命令,直到计算机重启。 - TPM_DisableOwnerClear
- 92 (0x5C)
允许 TPM 所有者永久禁用 TPM_OwnerClear 命令。 使用TPM_DisableOwnerClear后,所有者必须运行 TPM_ForceClear 命令以清除 TPM。 - TPM_DisablePubekRead
- 126 (0x7E)
通过让 TPM_TakeOwnership 命令使用 TPM_ReadPubek 命令自动禁用读取认可密钥的公共部分来取代。 默认情况下会阻止此值。 - TPM_DSAP
- 17 (0x11)
为Delegate-Specific授权协议 (DSAP) 生成授权会话句柄,用于安全地将委派的授权数据传递给 TPM,以及 TPM 跟踪此授权会话句柄所需的信息。 - TPM_EstablishTransport
- 230 (0xE6)
建立一个传输会话,该会话可用于使用 TPM_ExecuteTransport) 将共享机密、加密密钥和会话日志保密传输到 TPM (。 - TPM_EvictKey
- 34 (0x22)
由 TPM_FlushSpecific 命令取代。 默认情况下会阻止此值。 - TPM_ExecuteTransport
- 231 (0xE7)
将包装的 TPM 命令传递到传输会话中的 TPM。 TPM 解包命令,然后运行命令。 - TPM_Extend
- 20 (0x14)
向指定的平台配置寄存器添加新摘要,并返回此扩展摘要。 - TPM_FieldUpgrade
- 170 (0xAA)
允许制造商升级 TPM 功能。 此命令特定于 TPM 制造商。 - TPM_FlushSpecific
- 186 (0xBA)
从 TPM 刷新指定的资源句柄。 - TPM_ForceClear
- 93 (0x5D)
清除 TPM。 此命令需要计算机的物理存在,并且不能由操作系统执行。 - TPM_GetAuditDigest
- 133 (0x85)
返回 TPM 审核摘要。 - TPM_GetAuditDigestSigned
- 134 (0x86)
返回签名的 TPM 审核摘要和当前审核命令的列表。 - TPM_GetAuditEvent
- 130 (0x82)
出于安全考虑,删除了 。 默认情况下会阻止此值。 - TPM_GetAuditEventSigned
- 131 (0x83)
出于安全考虑,删除了 。 默认情况下会阻止此值。 - TPM_GetCapability
- 101 (0x65)
返回 TPM 信息。 - TPM_GetCapabilityOwner
- 102 (0x66)
出于安全考虑,删除了 。 默认情况下会阻止此值。 - TPM_GetCapabilitySigned
- 100 (0x64)
出于安全考虑,删除了 。 默认情况下会阻止此值。 - TPM_GetOrdinalAuditStatus
- 140 (0x8C)
出于安全考虑,删除了 。 默认情况下会阻止此值。 - TPM_GetPubKey
- 33 (0x21)
允许已加载密钥的所有者获取该密钥的公钥值。 加载的密钥是使用 TPM_LoadKey2 命令创建的。 - TPM_GetRandom
- 70 (0x46)
从 TPM 随机数生成器返回指定长度的随机数据。 - TPM_GetTestResult
- 84 (0x54)
提供有关自检结果的制造商特定和诊断信息。 - TPM_GetTick
- 241 (0xF1)
返回 TPM 的当前时钟周期计数。 - TPM_IncrementCounter
- 221 (0xDD)
允许单调计数器的所有者递增该计数器 1,并返回此更新的值。 - TPM_Init
- 151 (0x97)
该命令首先由计算机发送。 在初始启动过程中,此命令将发送到 TPM。 此命令不能由软件运行。 - TPM_KeyControlOwner
- 35 (0x23)
允许 TPM 所有者设置存储在 TPM 密钥缓存中的密钥的某些属性。 例如,密钥是否可以被所有者以外的任何人逐出。 - TPM_KillMaintenanceFeature
- 46 (0x2E)
允许 TPM 所有者使用 TPM_CreateMaintenanceArchive 命令阻止创建维护存档。 此操作在通过使用 TPM_TakeOwnership 命令设置新的 TPM 所有者之前有效。 - TPM_LoadAuthContext
- 183 (0xB7)
由 TPM_LoadContext 命令取代。 默认情况下会阻止此值。 - TPM_LoadContext
- 185 (0xB9)
将以前保存的上下文加载到 TPM 中。 - TPM_LoadKey
- 32 (0x20)
由 TPM_LoadKey2 命令取代。 默认情况下会阻止此值。 - TPM_LoadKey2
- 65 (0x41)
将密钥加载到 TPM 中,以便所有者可以对其设置其他操作。 这些操作包括包装、解包、绑定、取消绑定、密封、解封和签名。 - TPM_LoadKeyContext
- 181 (0xB5)
由 TPM_LoadContext 命令取代。 默认情况下会阻止此值。 - TPM_LoadMaintenanceArchive
- 45 (0x2D)
允许 TPM 所有者加载使用 TPM_CreateMaintenanceArchive 命令) 生成的维护存档 (。 加载后,存储根密钥的授权值设置为与 TPM 所有者授权相同。 - TPM_LoadManuMaintPub
- 47 (0x2F)
将计算机制造商的公钥加载到 TPM 中,以便在维护过程中使用。 此命令只能运行一次,应在计算机交付之前执行。 - TPM_MakeIdentity
- 121 (0x79)
允许 TPM 所有者生成证明标识密钥,该密钥可用于对 TPM 内部生成的信息进行签名。 - TPM_MigrateKey
- 37 (0x25)
允许 TPM 使用TPM_CreateMigrationBlob或TPM_CMK_CreateBlob命令将生成的 BLOB) (迁移到目标,方法是使用给定公钥重新加密目标。 - TPM_NV_DefineSpace
- 204 (0xCC)
允许 TPM 所有者为 TPM 上的非易失存储区域定义空间。 此定义包括写入和读取区域的访问权限要求。 - TPM_NV_ReadValue
- 207 (0xCF)
从定义的非易失性存储区域进行读取。 - TPM_NV_ReadValueAuth
- 208 (0xD0)
在给定该区域所需的授权的情况下,从定义的非易失性存储区域进行读取。 - TPM_NV_WriteValue
- 205 (0xCD)
将指定的值写入由 TPM_NV_DefineSpace 命令创建的定义的非易失存储区域。 - TPM_NV_WriteValueAuth
- 206 (0xCE)
给定该区域所需的授权,将指定的值写入定义的非易失性存储区域。 - TPM_OIAP
- 10 (0xA)
为Object-Independent授权协议生成授权会话句柄, (用于将授权数据安全地传递到 TPM 的 OIAP) ,以及 TPM 跟踪此授权会话句柄所需的信息。 - TPM_OSAP
- 11 (0xB)
为Object-Specific授权协议生成授权会话句柄, (OSAP) ,用于将授权数据安全地传递到 TPM,以及 TPM 跟踪此授权会话句柄所需的信息。 - TPM_OwnerClear
- 91 (0x5B)
允许 TPM 所有者清除 TPM。 这意味着 TPM 上唯一剩余的密钥是认可密钥。 - TPM_OwnerReadInternalPub
- 129 (0x81)
允许 TPM 所有者返回 TPM 认可密钥或存储根密钥的公共部分。 - TPM_OwnerReadPubek
- 125 (0x7D)
由 TPM_OwnerReadInternalPub 命令取代。 默认情况下会阻止此值。 - TPM_OwnerSetDisable
- 110 (0x6E)
允许 TPM 所有者启用或禁用 TPM。 有关详细信息,请参阅 TPM_PhysicalEnable 和 TPM_PhysicalDisable 命令的说明。 - TPM_PCR_Reset
- 200 (0xC8)
将指定的平台配置寄存器 (PCR) 重置为其默认状态。 - TPM_PcrRead
- 21 (0x15)
返回指定 PCR 的内容。 - TPM_PhysicalDisable
- 112 (0x70)
禁用 TPM。 此命令需要计算机中的物理存在,不能由操作系统运行。 关闭 TPM 涉及使用 TPM_PhysicalSetDeactivated 命令禁用或停用 TPM。 - TPM_PhysicalEnable
- 111 (0x6F)
启用 TPM。 此命令需要计算机中的物理存在,不能由操作系统运行。 打开 TPM 涉及使用 TPM_PhysicalSetDeactivated 命令启用或激活 TPM。 - TPM_PhysicalSetDeactivated
- 114 (0x72)
激活或停用 TPM。 此命令需要计算机中的物理存在,不能由操作系统运行。 建议不要阻止此命令。 - TPM_Quote
- 22 (0x16)
返回一个有符号摘要,该摘要是指定 PCR 和某些指定外部数据的内容的组合。 摘要使用加载的密钥进行签名。 此命令默认被阻止。 - TPM_Quote2
- 62 (0x3E)
类似于 TPM_Quote 命令,但它包含位置信息,以提供当前计算机配置的更完整视图。 此命令默认被阻止。 - TPM_ReadCounter
- 222 (0xDE)
返回指定单调计数器的值。 - TPM_ReadManuMaintPub
- 48 (0x30)
返回使用 TPM_LoadManuMaintPub 命令) 加载 (计算机制造商公共维护密钥的摘要。 - TPM_ReadPubek
- 124 (0x7C)
返回 TPM 认可密钥的公共部分。 使用 TPM_TakeOwnership 命令获取 TPM 所有权时,将禁用此命令。 - TPM_ReleaseCounter
- 223 (0xDF)
允许计数器的所有者释放指定的计数器。 此命令停止计数器的所有后续读取或增量。 - TPM_ReleaseCounterOwner
- 224 (0xE0)
允许 TPM 所有者释放指定的计数器。 此命令停止计数器的所有后续读取或增量。 - TPM_ReleaseTransportSigned
- 232 (0xE8)
完成传输会话。 如果启用日志记录,此命令将返回会话期间执行的所有操作的哈希以及哈希的数字签名。 - TPM_Reset
- 90 (0x5A)
释放与现有授权会话关联的所有资源。 此命令不会针对 TPM 版本 1.2 进行升级。 默认情况下会阻止此值。 - TPM_ResetLockValue
- 64 (0x40)
重置用于防止 TPM 授权值受到攻击的机制。 - TPM_RevokeTrust
- 128 (0x80)
清除使用 TPM_CreateRevocableEK 命令) 生成的可吊销 TPM 认可密钥 (,如果找到此重置的正确授权值,则重置 TPM。 此命令需要计算机的物理存在,不能由操作系统执行。 - TPM_SaveAuthContext
- 182 (0xB6)
由 TPM_SaveContext 命令取代。 默认情况下会阻止此值。 - TPM_SaveContext
- 184 (0xB8)
将已加载的资源保存在 TPM 之外。 成功运行此命令后,TPM 会自动释放会话的内部内存,但保留密钥。 - TPM_SaveKeyContext
- 180 (0xB4)
由 TPM_SaveContext 命令取代。 默认情况下会阻止此值。 - TPM_SaveState
- 152 (0x98)
警告 TPM 在进入睡眠状态之前保存状态信息。 默认情况下会阻止此值。 - TPM_Seal
- 23 (0x17)
允许 TPM 保护机密,直到完整性、计算机配置和授权检查成功。 - TPM_Sealx
- 61 (0x3D)
允许 TPM 保护机密,以便仅在验证指定的计算机配置时释放机密。 机密必须加密。 - TPM_SelfTestFull
- 80 (0x50)
测试 TPM 的所有内部函数。 任何故障都会导致 TPM 进入故障模式。 - TPM_SetCapability
- 63 (0x3F)
允许 TPM 所有者在 TPM 中设置值。 - TPM_SetOperatorAuth
- 116 (0x74)
定义操作员授权值。 此命令需要计算机中的物理存在,不能由操作系统运行。 - TPM_SetOrdinalAuditStatus
- 141 (0x8D)
允许 TPM 所有者为给定的命令编号设置审核标志。 打开此标志后,命令会向审核摘要返回审核,并将命令添加到当前审核的命令列表中。 - TPM_SetOwnerInstall
- 113 (0x71)
允许或禁止设置所有者的功能。 此命令需要计算机的物理存在,并且不能由操作系统运行。 - TPM_SetOwnerPointer
- 117 (0x75)
设置对 TPM 在执行 OIAP 或 OSAP 会话时使用的所有者授权的引用。 此命令仅用于为不支持 DSAP 的旧代码提供所有者委派功能。 - TPM_SetRedirection
- 154 (0x9A)
允许 TPM 通过重定向输出直接与连接的安全处理器通信。 - TPM_SetTempDeactivated
- 115 (0x73)
允许平台的操作员停用 TPM,直到下一次计算机重新启动序列。 操作员必须在计算机上具有物理状态,或者提供使用 TPM_SetOperatorAuth 命令定义的操作员授权值。 - TPM_SHA1Complete
- 162 (0xA2)
完成挂起的 SHA-1 摘要过程并返回生成的 SHA-1 哈希输出。 - TPM_SHA1CompleteExtend
- 163 (0xA3)
完成挂起的 SHA-1 摘要过程,返回生成的 SHA-1 哈希输出,并将此哈希合并到平台配置寄存器 (PCR) 。 - TPM_SHA1Start
- 160 (0xA0)
启动计算 SHA-1 摘要的过程。 此命令后必须运行 TPM_SHA1Update 命令,否则 SHA-1 进程将失效。 - TPM_SHA1Update
- 161 (0xA1)
将完整的数据块输入到挂起的 SHA-1 摘要中, (使用 TPM_SHA1Start 命令) 启动。 - TPM_Sign
- 60 (0x3C)
使用加载的签名密钥对数据进行签名,并返回生成的数字签名。 - TPM_Startup
- 153 (0x99)
必须遵循 TPM_Init 命令的命令,以便将有关调用时发生的重置类型的其他计算机信息传输到 TPM。 - TPM_StirRandom
- 71 (0x47)
将熵添加到 TPM 随机数生成器状态。 - TPM_TakeOwnership
- 13 (0xD)
使用派生自所有者密码的新所有者授权值获取 TPM 的所有权。 在此命令执行之前必须满足的其他条件中,必须启用并激活 TPM。 - TPM_Terminate_Handle
- 150 (0x96)
由 TPM_FlushSpecific 命令取代。 默认情况下会阻止此值。 - TPM_TickStampBlob
- 242 (0xF2)
使用加载的签名密钥使用 TPM 的当前时钟周期计数对指定的摘要进行签名。 - TPM_UnBind
- 30 (0x1E)
解密以前使用 TPM 绑定密钥的公共部分加密的数据。 - TPM_Unseal
- 24 (0x18)
如果完整性、计算机配置和授权检查成功,则释放以前由 TPM 密封的机密。 - TSC_PhysicalPresence
- 1073741834 (0x4000000A)
断言计算机上的物理状态。 此命令不能由操作系统运行。 - TSC_ResetEstablishmentBit
- 1073741835 (0x4000000B)
未在 BitLocker 的当前版本中使用。
返回值
类型: uint32
可以返回所有 TPM 错误以及特定于 TPM 基本服务的错误。
下面列出了常见的返回代码。
| 返回代码/值 | 说明 |
|---|---|
|
方法成功。 |
安全注意事项
更改阻止命令的默认列表可能会使计算机面临安全和隐私风险。
备注
组策略可以替代 AddBlockedCommand 方法的效果。 管理员可以将组策略配置为忽略阻止命令的本地列表。
如果 CommandOrdinal 指示的值已出现在阻止命令的本地列表中,则返回零。
托管对象格式 (MOF) 文件包含 Windows Management Instrumentation (WMI) 类的定义。 MOF 文件未作为 Windows SDK 的一部分安装。 使用 服务器管理器 添加关联角色时,这些角色将安装在服务器上。 有关 MOF 文件的详细信息,请参阅 托管对象格式 (MOF) 。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 |
Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 |
Windows Server 2008 [仅限桌面应用] |
| 命名空间 |
Root\CIMV2\Security\MicrosoftTpm |
| MOF |
|
| DLL |
|
请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈