Sdílet prostřednictvím

Blokování příkazů

  • Článek

Aby se zachovala integrita operací, některé příkazy TPM nesmí být spouštěné softwarem na platformě. Například některé příkazy jsou spouštěné pouze systémovým softwarem. Když tbS blokuje příkaz, vrátí se chyba podle potřeby. Ve výchozím nastavení blokuje tbS příkazy, které by mohly mít vliv na ochranu osobních údajů systému, zabezpečení a stabilitu. TbS také předpokládá, že ostatní části softwarového zásobníku mohou omezit přístup k určitým příkazům na autorizované entity.

Pro příkazy TPM verze 1.2 existují tři seznamy blokovaných příkazů: seznam řízený zásadami skupiny, seznam řízený místními správci a výchozí seznam. Příkaz TPM je zablokovaný, pokud je v některém ze seznamů. Existují však příznaky zásad skupiny, které umožňují službě TBS ignorovat místní seznam a výchozí seznam. Příznaky zásad skupiny je možné upravovat přímo nebo k němu přistupovat prostřednictvím Editoru objektů zásad skupiny.

Poznámka

Seznam místně blokovaných příkazů se po upgradu na operační systém nezachová. Příkazy blokované v seznamu zásad skupiny se zachovají.

 

U příkazů TPM verze 2.0 je logika blokování invertována; používá seznam povolených příkazů. Tato logika automaticky zablokuje příkazy, které nebyly známé při prvním vytvoření seznamu. Po přidání příkazů do specifikace TPM po odeslání verze Windows se tyto nové příkazy automaticky zablokují. Tyto nové příkazy přidá do seznamu povolených příkazů pouze aktualizace registru.

Od Windows 10 1809 (Windows Server 2019) už nejde s povolenými příkazy TPM 2.0 manipulovat prostřednictvím nastavení registru. U těchto verzí Windows 10 jsou povolené příkazy TPM 2.0 v ovladači TPM opravené. Příkazy TPM 1.2 je stále možné blokovat a odblokovat prostřednictvím změn registru.

Přímý přístup k registru

Příznaky zásad skupiny jsou pod klíčem registru HKEY_LOCAL_MACHINE\Zásady\Software\Microsoft\Tpm\BlockedCommands.

Pokud chcete zjistit, které seznamy se mají použít k blokování příkazů TPM, existují dvě hodnoty DWORD, které se používají jako logické příznaky:

  • "IgnoreDefaultList"

    Pokud je nastavená hodnota (hodnota existuje a není nula), funkce TBS ignoruje výchozí seznam blokovaných příkazů.

  • "IgnoreLocalList"

    Pokud je nastavená hodnota (hodnota existuje a není nula), funkce TBS ignoruje místní seznam blokovaných příkazů.

Editor objektů zásad skupiny

Přístup k editoru objektů zásad skupiny

  1. Klikněte na Start.
  2. Klikněte na Spustit.
  3. Do pole Otevřít zadejte gpedit.msc. Klepněte na tlačítko OK. Otevře se editor objektů zásad skupiny.
  4. Rozbalte konfigurace počítače.
  5. Rozbalte šablony pro správu.
  6. Rozbalte systému.
  7. Rozbalte služby Trusted Platform Module Services .

Seznamy konkrétních blokovaných příkazů TPM1.2 je možné upravit přímo v následujících umístěních.

  • Seznam zásad skupiny:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Místní seznam:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Výchozí seznam:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Pod každým z těchto klíčů registru je seznam hodnot registru REG_SZ typu. Každá hodnota představuje blokovaný příkaz TPM. Každý klíč registru má pole Název hodnoty a pole Údaj hodnoty. Obě pole ("Název hodnoty" a "Data hodnoty") by se měly přesně shodovat s desetinnou hodnotou příkazu TPM, která má být blokovaná.

Seznam konkrétních povolených příkazů TPM 2.0 lze upravit přímo v následujícím umístění. Pod klíčem registru je seznam hodnot registru REG_DWORD typu. Každá hodnota představuje povolený příkaz TPM 2.0. Každá hodnota registru má název a hodnotu pole. Název odpovídá šestnáctkovému příkazu TPM 2.0, který by měl být povolený. Hodnota , má hodnotu 1, pokud je příkaz povolený. Pokud není k dispozici řadový příkaz nebo má hodnotu 0, bude příkaz zablokovaný.

  • Výchozí seznam:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Pro Windows 8, Windows Server 2012 a novější BlockedCommands a AllowedW8Commands klíče registru určují blokované nebo povolené příkazy TPM pro účty správců. Uživatelské účty mají seznam blokovaných nebo povolených příkazů TPM v BlockedUserCommands a AllowedW8UserCommands klíče registru. Ve Windows 10 verze 1607 byly pro aplikace AppContainer zavedena nové klíče registru: BlockedAppContainerCommands a AllowedW8AppContainerCommands.