Freigeben über


Befehlsblockierung

Um die Integrität von Vorgängen zu erhalten, dürfen bestimmte TPM-Befehle nicht von Software auf der Plattform ausgeführt werden. Beispielsweise werden einige Befehle nur von Systemsoftware ausgeführt. Wenn der TBS einen Befehl blockiert, wird ggf. ein Fehler zurückgegeben. Standardmäßig blockiert TBS Befehle, die sich auf den Datenschutz, die Sicherheit und Stabilität des Systems auswirken könnten. Außerdem wird davon ausgegangen, dass andere Teile des Softwarestapels den Zugriff auf bestimmte Befehle auf autorisierte Entitäten einschränken können.

Für TPM Version 1.2-Befehle gibt es drei Listen blockierter Befehle: eine Liste, die von Gruppenrichtlinien gesteuert wird, eine Liste, die von lokalen Administratoren gesteuert wird, und eine Standardliste. Ein TPM-Befehl wird blockiert, wenn er sich in einer der Listen befindet. Es gibt jedoch Gruppenrichtlinienkennzeichnungen, mit denen TBS die lokale Liste und die Standardliste ignorieren kann. Die Gruppenrichtlinienkennzeichnungen können direkt bearbeitet oder über den Gruppenrichtlinienobjekt-Editor aufgerufen werden.

Anmerkung

Die Liste der lokal blockierten Befehle wird nach einem Upgrade auf das Betriebssystem nicht beibehalten. Befehle, die in der Gruppenrichtlinienliste blockiert sind, bleiben erhalten.

 

Bei TPM Version 2.0-Befehlen wird die Logik zum Blockieren invertiert; sie verwendet eine Liste der zulässigen Befehle. Diese Logik blockiert automatisch Befehle, die beim ersten Erstellen der Liste nicht bekannt waren. Wenn Befehle der TPM-Spezifikation hinzugefügt werden, nachdem eine Version von Windows ausgeliefert wurde, werden diese neuen Befehle automatisch blockiert. Nur ein Update der Registrierung fügt diese neuen Befehle zur Liste der zulässigen Befehle hinzu.

Ab Windows 10 1809 (Windows Server 2019) können zulässige TPM 2.0-Befehle nicht mehr über Registrierungseinstellungen bearbeitet werden. Für diese Windows 10-Versionen sind die zulässigen TPM 2.0-Befehle im TPM-Treiber behoben. TPM 1.2-Befehle können weiterhin blockiert und durch Registrierungsänderungen aufgehoben werden.

Direkter Registrierungszugriff

Die Gruppenrichtlinienkennzeichnungen befinden sich unter registrierungsschlüssel HKEY_LOCAL_MACHINE\Software-\Richtlinien\Microsoft\Tpm\BlockedCommands.

Um zu ermitteln, welche Listen zum Blockieren von TPM-Befehlen verwendet werden sollen, gibt es zwei DWORD- Werte, die als boolesche Flags verwendet werden:

  • "IgnoreDefaultList"

    Wenn "Set" (Wert vorhanden ist und ungleich Null ist), ignoriert TBS die Liste der standardmäßigen blockierten Befehle.

  • "IgnoreLocalList"

    Wenn festgelegt (Wert vorhanden ist und ungleich Null ist), ignoriert TBS die liste der lokalen blockierten Befehle.

Gruppenrichtlinienobjekt-Editor

Zugreifen auf den Gruppenrichtlinienobjekt-Editor

  1. Klicken Sie auf Start.
  2. Klicken Sie auf Ausführen.
  3. Geben Sie im Feld Öffnengpedit.mscein. Klicken Sie auf OK. Der Gruppenrichtlinienobjekt-Editor wird geöffnet.
  4. Erweitern Sie Computerkonfiguration.
  5. Erweitern Sie administrative Vorlagen.
  6. Erweitern Sie System-.
  7. Erweitern Sie Trusted Platform Module Services.

Die Listen bestimmter blockierter TPM1.2-Befehle können direkt an den folgenden Speicherorten bearbeitet werden.

  • Gruppenrichtlinienliste:

    HKEY_LOCAL_MACHINE
       Software
          Policies
             Microsoft
                Tpm
                   BlockedCommands
                      List
    
  • Lokale Liste:

    HKEY_LOCAL_MACHINE
       SYSTEM
          CurrentControlSet
             Services
                SharedAccess
                   Parameters
                      Tpm
                         BlockedCommands
                            List
    
  • Standardliste:

    HKEY_LOCAL_MACHINE
       Software
          Microsoft
             Tpm
                BlockedCommands
                   List
    

Unter jedem dieser Registrierungsschlüssel gibt es eine Liste der Registrierungswerte REG_SZ Typs. Jeder Wert stellt einen blockierten TPM-Befehl dar. Jeder Registrierungsschlüssel verfügt über ein Feld "Wertname" und ein Feld "Wertdaten". Beide Felder ("Wertname" und "Wertdaten") sollten exakt mit dem Dezimalwert des TPM-Befehls oder der zu blockierenden Ordnungszahl übereinstimmen.

Die Liste der zulässigen TPM 2.0-Befehle kann direkt an folgendem Speicherort bearbeitet werden. Unter dem Registrierungsschlüssel gibt es eine Liste der Registrierungswerte REG_DWORD Typs. Jeder Wert stellt einen zulässigen TPM 2.0-Befehl dar. Jeder Registrierungswert weist einen Namen und einen Wert Feld auf. Der Name entspricht dem hexadezimalen TPM 2.0-Befehls-Ordinal, das zulässig sein sollte. Der Wert hat einen Wert von 1, wenn der Befehl zulässig ist. Wenn ein Befehls-Ordinal nicht vorhanden ist oder den Wert 0 hat, wird der Befehl blockiert.

  • Standardliste:

    HKEY_LOCAL_MACHINE
       Software
          Microsoft
             Tpm
                AllowedW8Commands
                   List
    

Für Windows 8, Windows Server 2012 und höher bestimmen die BlockedCommands und AllowedW8Commands Registrierungsschlüssel die blockierten oder zulässigen TPM-Befehle für Administratorkonten. Benutzerkonten verfügen über eine Liste blockierter oder zulässiger TPM-Befehle in den BlockedUserCommands und AllowedW8UserCommands Registrierungsschlüssel. In Windows 10, Version 1607, wurden neue Registrierungsschlüssel für AppContainer-Anwendungen eingeführt: BlockedAppContainerCommands und AllowedW8AppContainerCommands.