Megosztás a következőn keresztül:

Parancsblokkolás

  • Cikk

A műveletek integritásának megőrzése érdekében bizonyos TPM-parancsokat nem hajthat végre szoftver a platformon. Egyes parancsokat például csak a rendszerszoftver hajt végre. Amikor a TBS letilt egy parancsot, a rendszer a megfelelő módon visszaad egy hibát. A TBS alapértelmezés szerint letiltja azokat a parancsokat, amelyek hatással lehetnek a rendszer adatvédettségére, biztonságára és stabilitására. A TBS azt is feltételezi, hogy a szoftververem más részei korlátozhatják bizonyos parancsokhoz való hozzáférést az engedélyezett entitásokhoz.

Az 1.2-es verziójú TPM-parancsok esetében a letiltott parancsok három listája létezik: egy csoportházirend által szabályozott lista, egy helyi rendszergazdák által felügyelt lista és egy alapértelmezett lista. A TPM-parancsok le lesznek tiltva, ha a listák bármelyikén szerepel. Vannak azonban olyan csoportházirend-jelzők, amelyekkel a TBS figyelmen kívül hagyhatja a helyi listát és az alapértelmezett listát. A csoportházirend-jelölők közvetlenül szerkeszthetők, vagy a csoportházirend-objektumszerkesztőn keresztül érhetők el.

Jegyzet

A helyileg letiltott parancsok listája nem marad meg az operációs rendszerre való frissítés után. A csoportházirend-listában letiltott parancsok megmaradnak.

 

A 2.0-s verziójú TPM-parancsok esetében a blokkolás logikája invertált; az engedélyezett parancsok listáját használja. Ez a logika automatikusan letiltja a lista első létrehozásakor nem ismert parancsokat. Ha a windowsos verzió leszállítása után a rendszer hozzáadja a parancsokat a TPM-specifikációhoz, ezek az új parancsok automatikusan le lesznek tiltva. Csak a beállításjegyzék frissítése adja hozzá ezeket az új parancsokat az engedélyezett parancsok listájához.

A Windows 10 1809-től (Windows Server 2019) kezdődően az engedélyezett TPM 2.0-parancsok már nem módosíthatók a beállításjegyzék beállításaival. Ezekben a Windows 10-verziókban az engedélyezett TPM 2.0-parancsok a TPM-illesztőben vannak javítva. A TPM 1.2-parancsok továbbra is blokkolhatók és feloldhatók a beállításjegyzék módosításaival.

Közvetlen beállításjegyzék-hozzáférés

A csoportházirend-jelzők a beállításkulcs HKEY_LOCAL_MACHINE\Szoftver\Házirendek\Microsoft\Tpm\BlockedCommandsalatt találhatók.

A TPM-parancsok letiltásához használandó listák meghatározásához két DWORD értéket használnak logikai jelzőként:

  • "IgnoreDefaultList"

    Ha a beállítás (az érték létezik, és nem nulla), a TBS figyelmen kívül hagyja az alapértelmezett letiltott parancsok listáját.

  • "IgnoreLocalList"

    Ha be van állítva (az érték létezik, és nem nulla), a TBS figyelmen kívül hagyja a helyi letiltott parancsok listáját.

Csoportházirend objektumszerkesztője

Csoportházirend-objektumszerkesztő

  1. Kattintson Startgombra.
  2. Kattintson a Futtatásgombra.
  3. A Megnyitás mezőbe írja be gpedit.msc. Kattintson OKgombra. Megnyílik a Csoportházirend objektumszerkesztője.
  4. Bontsa ki számítógép konfigurációs.
  5. Bontsa ki felügyeleti sablonokat.
  6. Bontsa ki rendszer.
  7. Bontsa ki megbízható platformmodul-szolgáltatások.

Az adott blokkolt TPM1.2-parancsok listája közvetlenül az alábbi helyeken szerkeszthető.

  • Csoportházirend-lista:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Helyi lista:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Alapértelmezett lista:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Ezen beállításkulcsok mindegyikében REG_SZ típusú beállításjegyzék-értékek listája található. Minden érték egy blokkolt TPM-parancsot jelöl. Minden beállításkulcshoz tartozik egy "Érték neve" mező és egy "Értékadatok" mező. Mindkét mezőnek ("Érték neve" és "Értékadatok") pontosan meg kell egyeznie a blokkolni kívánt TPM-parancs sorszámának decimális értékével.

Az engedélyezett TPM 2.0-parancsok listája közvetlenül az alábbi helyen szerkeszthető. A beállításkulcs alatt REG_DWORD típusú beállításjegyzék-értékek listája található. Minden érték egy engedélyezett TPM 2.0-parancsot jelöl. Minden beállításjegyzék-értékhez tartozik egy név és egy érték mező. A név megegyezik a hexadecimális TPM 2.0 parancsrendeletével, amelyet engedélyezni kell. A értéke 1, ha a parancs engedélyezett. Ha egy parancsrend nem jelenik meg, vagy értéke 0, a parancs le lesz tiltva.

  • Alapértelmezett lista:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Windows 8, Windows Server 2012 és újabb verziók esetén a BlockedCommands és AllowedW8Commands beállításkulcsok határozzák meg a rendszergazdai fiókok letiltott vagy engedélyezett TPM-parancsait. A felhasználói fiókok a letiltott vagy engedélyezett TPM-parancsok listáját tartalmazzák a BlockedUserCommands és AllowedW8UserCommands beállításkulcsokban. A Windows 10 1607-es verziójában új beállításkulcsok jelentek meg az AppContainer-alkalmazásokhoz: BlockedAppContainerCommands és AllowedW8AppContainerCommands.