原則 CSP - ADMX_TPM
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
BlockedCommandsList_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
此原則設定可讓您管理受 Windows 封鎖的信賴平臺模組 (TPM) 命令 群組原則 清單。
如果啟用此原則設定,Windows 會封鎖指定的命令,使計算機無法傳送至 TPM。 命令編號會參考 TPM 命令。 例如,命令編號 129 是TPM_OwnerReadInternalPub,而命令編號 170 則TPM_FieldUpgrade。 若要尋找每個 TPM 命令與 TPM 1.2 相關聯的命令編號,請執行 「tpm.msc」,並流覽至 [命令管理] 區段。
如果您停用或未設定此原則設定,Windows 可能會封鎖透過預設或本機清單指定的 TPM 命令。 Windows 已預先設定封鎖 TPM 命令的預設清單。 您可以執行 「tpm.msc」 來檢視預設清單、流覽至 [命令管理] 區段,並顯示 [在預設區塊清單上] 資料行。 封鎖的 TPM 命令的本機清單是透過執行 「tpm.msc」 或透過針對 Win32_Tpm 介面的腳本,在 群組原則 外部設定。 請參閱相關的原則設定,以強制或忽略已封鎖 TPM 命令的預設和本機清單。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | BlockedCommandsList_Name |
| 易記名稱 | 設定封鎖的 TPM 命令清單 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| 登錄值名稱 | 啟用 |
| ADMX 檔案名稱 | TPM.admx |
ClearTPMIfNotReady_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
如果偵測到 TPM 處於 Ready 以外的任何狀態,此原則設定會設定系統提示使用者清除 TPM。 只有當系統的 TPM 處於「就緒」以外的狀態時,此原則才會生效,包括 TPM 為「就緒,功能已減少」時。 只有在登入的使用者是系統的 Administrators 群組一部分時,才會在使用者登入時,在下次重新啟動後開始提示清除 TPM。 提示可以關閉,但會在每次重新啟動並登入之後重新出現,直到原則停用或 TPM 處於就緒狀態為止。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ClearTPMIfNotReady_Name |
| 易記名稱 | 將系統設定為在 TPM 未處於就緒狀態時清除它。 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\TPM |
| 登錄值名稱 | ClearTPMIfNotReadyGP |
| ADMX 檔案名稱 | TPM.admx |
IgnoreDefaultList_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
此原則設定可讓您強制或忽略計算機的預設封鎖信賴平臺模組清單 (TPM) 命令。
- 如果啟用此原則設定,Windows 將會忽略計算機的封鎖 TPM 命令預設清單,且只會封鎖 群組原則 或本機清單所指定的 TPM 命令。
Windows 已預先設定封鎖 TPM 命令的預設清單。 您可以執行 「tpm.msc」 來檢視預設清單、流覽至 [命令管理] 區段,並顯示 [在預設區塊清單上] 資料行。 封鎖的 TPM 命令的本機清單是透過執行 「tpm.msc」 或透過針對 Win32_Tpm 介面的腳本,在 群組原則 外部設定。 請參閱相關的原則設定,以設定 群組原則 封鎖的 TPM 命令清單。
- 如果您停用或未設定此原則設定,除了封鎖 TPM 命令的 群組原則 和本機清單中的命令之外,Windows 還會封鎖預設清單中的 TPM 命令。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | IgnoreDefaultList_Name |
| 易記名稱 | 忽略封鎖 TPM 命令的預設清單 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\TPM\BlockedCommands |
| 登錄值名稱 | IgnoreDefaultList |
| ADMX 檔案名稱 | TPM.admx |
IgnoreLocalList_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
此原則設定可讓您強制或忽略計算機的已封鎖信賴平臺模組本機清單 (TPM) 命令。
- 如果啟用此原則設定,Windows 將會忽略計算機的封鎖 TPM 命令的本機清單,且只會封鎖 群組原則 或預設清單所指定的 TPM 命令。
封鎖的 TPM 命令的本機清單是透過執行 「tpm.msc」 或透過針對 Win32_Tpm 介面的腳本,在 群組原則 外部設定。 Windows 已預先設定封鎖 TPM 命令的預設清單。 請參閱相關的原則設定,以設定 群組原則 封鎖的 TPM 命令清單。
- 如果停用或未設定此原則設定,除了封鎖 TPM 命令的 群組原則 和預設清單中的命令之外,Windows 還會封鎖本機清單中找到的 TPM 命令。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | IgnoreLocalList_Name |
| 易記名稱 | 忽略封鎖的 TPM 命令的本機清單 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\TPM\BlockedCommands |
| 登錄值名稱 | IgnoreLocalList |
| ADMX 檔案名稱 | TPM.admx |
OptIntoDSHA_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
此組策略會在支援的裝置上啟用裝置健康情況證明報告 (DHA 報告) 。 它可讓支援的裝置在每次裝置啟動時,將裝置開機記錄 (、PCR 值、TPM 憑證等 ) 的裝置健康情況證明相關信息傳送至裝置健康情況證明服務 (DHA-Service) 。 裝置健康情況證明服務會驗證裝置的安全性狀態和健康情況,並讓企業系統管理員透過雲端式報告入口網站存取結果。 此原則與 MDM 或 SCCM) 等裝置管理解決方案 (起始的 DHA 報告無關,且不會干擾其工作流程。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | OptIntoDSHA_Name |
| 易記名稱 | 啟用裝置健康情況證明監視和報告 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置健康情況證明服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\DeviceHealthAttestationService |
| 登錄值名稱 | EnableDeviceHealthAttestationService |
| ADMX 檔案名稱 | TPM.admx |
OSManagedAuth_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
此原則設定會設定將多少 TPM 擁有者授權資訊儲存在本機計算機的登錄中。 根據儲存在本機的 TPM 擁有者授權資訊數量,操作系統和 TPM 型應用程式可以執行某些需要 TPM 擁有者授權的 TPM 動作,而不需要使用者輸入 TPM 擁有者密碼。
您可以選擇讓操作系統存放區具有完整的 TPM 擁有者授權值、TPM 系統管理委派 Blob 加上 TPM 使用者委派 Blob,或是無。
如果啟用此原則設定,Windows 會根據您選擇的作業系統受控 TPM 驗證設定,將 TPM 擁有者授權儲存在本機電腦的登錄中。
選擇 [完整] 的操作系統受控 TPM 驗證設定,以在本機登錄中儲存完整的 TPM 擁有者授權、TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob。 此設定允許使用 TPM,而不需要遠端或外部儲存 TPM 擁有者授權值。 此設定適用於不相依於防止重設 TPM 反鐵制邏輯或變更 TPM 擁有者授權值的案例。 某些以 TPM 為基礎的應用程式可能需要先變更此設定,才能使用相依於 TPM 反哈希邏輯的功能。
選擇 [委派] 的操作系統受控 TPM 驗證設定,只將 TPM 系統管理委派 Blob 和 TPM 使用者委派 Blob 儲存在本機登錄中。 此設定適用於相依於 TPM 反鐵制邏輯的 TPM 型應用程式。
選擇操作系統受控 TPM 驗證設定為 [無],以與先前的操作系統和應用程式相容,或用於需要 TPM 擁有者授權的案例,而不會儲存在本機。 使用此設定可能會導致某些 TPM 型應用程式發生問題。
注意
如果操作系統管理的 TPM 驗證設定從「完整」變更為「委派」,則會重新產生完整的 TPM 擁有者授權值,而且原始 TPM 擁有者授權值的任何複本都將無效。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | OSManagedAuth_Name |
| 易記名稱 | 設定可供操作系統使用的 TPM 擁有者授權資訊層級 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\TPM |
| ADMX 檔案名稱 | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
此原則設定可讓您管理信賴平臺模組 (TPM) 命令需要授權的標準使用者授權失敗,以分鐘為單位計算的持續時間。 如果在期間內發生授權失敗的 TPM 命令數目等於閾值,標準使用者將無法將需要授權的命令傳送至 TPM。
此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會降低標準使用者可以傳送要求授權的命令至 TPM 的速度。
每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過此持續時間的授權失敗會被忽略。
針對每個標準使用者,會套用兩個閾值。 超過任何一個臨界值將會防止標準使用者將命令傳送至需要授權的 TPM。
標準使用者鎖定閾值個別值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可能擁有的授權失敗數目上限。
標準使用者鎖定總閾值是所有標準使用者在所有標準使用者都不允許將需要授權的命令傳送至 TPM 之前,可能擁有的授權失敗總數上限。
TPM 的設計目的是在收到太多具有不正確授權值的命令時進入硬體鎖定模式,以保護自己免於密碼猜測攻擊。 當 TPM 進入鎖定模式時,所有用戶都會使用此模式,包括系統管理員和 Windows 功能,例如 BitLocker 磁碟驅動器加密。 TPM 允許的授權失敗數目,以及待鎖定的時間長度,會因 TPM 製造商而有所不同。 某些 TPM 可能會進入鎖定模式,持續較長的時間,並根據過去的失敗減少授權失敗。 某些 TPM 可能需要重新啟動系統,才能結束鎖定模式。 其他 TPM 可能會要求系統在 TPM 結束鎖定模式之前,經過足夠的時鐘週期。
具有 TPM 擁有者密碼的系統管理員可以使用 TPM 管理控制台 (tpm.msc) 完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗;允許標準使用者立即再次使用 TPM。
如果未設定此值,則會使用預設值 480 分鐘 (8 小時) 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | StandardUserAuthorizationFailureDuration_Name |
| 易記名稱 | 標準使用者鎖定持續時間 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Tpm |
| 登錄值名稱 | StandardUserAuthorizationFailureDuration |
| ADMX 檔案名稱 | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
此原則設定可讓您管理信賴平臺模組 (TPM) 每個標準使用者的授權失敗數目上限。 如果使用者在標準使用者鎖定期間內的授權失敗數目等於此值,標準使用者將無法將命令傳送至需要授權的信賴平臺模組 (TPM) 。
此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會降低標準使用者可以傳送要求授權的命令至 TPM 的速度。
每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過持續時間的授權失敗會被忽略。
針對每個標準使用者,會套用兩個閾值。 超過任何一個臨界值將會防止標準使用者將命令傳送至需要授權的 TPM。
此值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可能會有的最大授權失敗數目。
標準使用者鎖定總閾值是所有標準使用者在所有標準使用者都不允許將需要授權的命令傳送至 TPM 之前,可能擁有的授權失敗總數上限。
TPM 的設計目的是在收到太多具有不正確授權值的命令時進入硬體鎖定模式,以保護自己免於密碼猜測攻擊。 當 TPM 進入鎖定模式時,所有用戶都會使用此模式,包括系統管理員和 Windows 功能,例如 BitLocker 磁碟驅動器加密。 TPM 允許的授權失敗數目,以及待鎖定的時間長度,會因 TPM 製造商而有所不同。 某些 TPM 可能會進入鎖定模式,持續較長的時間,並根據過去的失敗減少授權失敗。 某些 TPM 可能需要重新啟動系統,才能結束鎖定模式。 其他 TPM 可能會要求系統在 TPM 結束鎖定模式之前,經過足夠的時鐘週期。
具有 TPM 擁有者密碼的系統管理員可以使用 TPM 管理控制台 (tpm.msc) 完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗;允許標準使用者立即再次使用 TPM。
如果未設定此值,則會使用預設值 4。
值為零表示 OS 不允許標準使用者將命令傳送至 TPM,這可能會導致授權失敗。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | StandardUserAuthorizationFailureIndividualThreshold_Name |
| 易記名稱 | 標準用戶個別鎖定閾值 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Tpm |
| 登錄值名稱 | StandardUserAuthorizationFailureIndividualThreshold |
| ADMX 檔案名稱 | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11,版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
此原則設定可讓您管理信賴平臺模組 (TPM) 之所有標準使用者的授權失敗數目上限。 如果標準使用者鎖定期間內所有標準使用者的授權失敗總數等於此值,則所有標準使用者都無法將命令傳送至信賴平臺模組 (需要授權的 TPM) 。
此設定可協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會降低標準使用者可以傳送要求授權的命令至 TPM 的速度。
每次標準使用者將命令傳送至 TPM,並收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 超過持續時間的授權失敗會被忽略。
針對每個標準使用者,會套用兩個閾值。 超過任何一個臨界值將會防止標準使用者將命令傳送至需要授權的 TPM。
標準使用者個別鎖定值是每個標準使用者在不允許使用者將需要授權的命令傳送至 TPM 之前,可能會有的最大授權失敗數目。
此值是所有標準使用者在所有標準使用者都不允許將需要授權的命令傳送至 TPM 之前,可能擁有的授權失敗總數上限。
TPM 的設計目的是在收到太多具有不正確授權值的命令時進入硬體鎖定模式,以保護自己免於密碼猜測攻擊。 當 TPM 進入鎖定模式時,所有用戶都會使用此模式,包括系統管理員和 Windows 功能,例如 BitLocker 磁碟驅動器加密。 TPM 允許的授權失敗數目,以及待鎖定的時間長度,會因 TPM 製造商而有所不同。 某些 TPM 可能會進入鎖定模式,持續較長的時間,並根據過去的失敗減少授權失敗。 某些 TPM 可能需要重新啟動系統,才能結束鎖定模式。 其他 TPM 可能會要求系統在 TPM 結束鎖定模式之前,經過足夠的時鐘週期。
具有 TPM 擁有者密碼的系統管理員可以使用 TPM 管理控制台 (tpm.msc) 完全重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,都會忽略所有先前的標準使用者 TPM 授權失敗;允許標準使用者立即再次使用 TPM。
如果未設定此值,則會使用預設值 9。
值為零表示 OS 不允許標準使用者將命令傳送至 TPM,這可能會導致授權失敗。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | StandardUserAuthorizationFailureTotalThreshold_Name |
| 易記名稱 | 標準使用者總鎖定閾值 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Tpm |
| 登錄值名稱 | StandardUserAuthorizationFailureTotalThreshold |
| ADMX 檔案名稱 | TPM.admx |
UseLegacyDAP_Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
此原則設定會將 TPM 設定為使用字典攻擊防護參數 (鎖定閾值和復原時間,) Windows 10 版本 1607 及以下版本所使用的值。 只有在 Windows 10 版本 1607 之後原本使用 Windows 版本來準備 TPM 的) ,且) 系統具有 TPM 2.0 時,設定此原則才會生效。 請注意,啟用此原則只會在 TPM 維護工作執行之後生效 (通常會在系統重新啟動) 之後發生。 一旦在系統上啟用此原則,並在系統重新啟動) 後生效 (,停用它將不會有任何影響,而且不論此組策略的值為何,系統 TPM 都會使用舊版字典攻擊防護參數維持設定。 在啟用此原則的系統上,停用此原則設定生效的唯一方法是) 從組策略停用它,而 b) 清除系統上的 TPM。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | UseLegacyDAP_Name |
| 易記名稱 | 將系統設定為使用 TPM 2.0 的舊版字典攻擊防護參數設定。 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\TPM |
| 登錄值名稱 | UseLegacyDictionaryAttackParameters |
| ADMX 檔案名稱 | TPM.admx |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應