次の方法で共有

コマンド のブロック

  • [アーティクル]

操作の整合性を維持するために、プラットフォーム上のソフトウェアで特定の TPM コマンドを実行することはできません。 たとえば、一部のコマンドはシステム ソフトウェアによってのみ実行されます。 TBS がコマンドをブロックすると、必要に応じてエラーが返されます。 既定では、TBS は、システムのプライバシー、セキュリティ、安定性に影響を与える可能性のあるコマンドをブロックします。 また、TBS は、ソフトウェア スタックの他の部分が、特定のコマンドへのアクセスを承認されたエンティティに制限する可能性があることを前提としています。

TPM バージョン 1.2 コマンドの場合、ブロックされたコマンドには、グループ ポリシーによって制御されるリスト、ローカル管理者によって制御されるリスト、既定のリストの 3 つのリストがあります。 TPM コマンドは、いずれかのリストにある場合はブロックされます。 ただし、TBS がローカル リストと既定のリストを無視できるようにするグループ ポリシー フラグがあります。 グループ ポリシー フラグは、直接編集することも、グループ ポリシー オブジェクト エディターを使用してアクセスすることもできます。

Note

ローカルでブロックされたコマンドの一覧は、オペレーティング システムへのアップグレード後も保持されません。 グループ ポリシーリストでブロックされているコマンドは保持されます。

 

TPM バージョン 2.0 コマンドの場合、ブロックのロジックは反転されます。許可されたコマンドの一覧が使用されます。 このロジックは、リストが最初に作成されたときに認識されなかったコマンドを自動的にブロックします。 Windows のバージョンが出荷された後にコマンドが TPM 仕様に追加されると、これらの新しいコマンドは自動的にブロックされます。 レジストリの更新プログラムのみが、これらの新しいコマンドを許可されたコマンドの一覧に追加します。

Windows 10 1809 (Windows Server 2019) 以降では、TPM 2.0 コマンドをレジストリ設定で操作できなくなります。 これらのWindows 10バージョンでは、許可されている TPM 2.0 コマンドは TPM ドライバーで修正されます。 TPM 1.2 コマンドは、レジストリの変更によってブロックおよびブロック解除できます。

レジストリへの直接アクセス

グループ ポリシー フラグは、Microsoft\Tpm\BlockedCommands\HKEY_LOCAL_MACHINE\\レジストリ キーの下にあります。

TPM コマンドをブロックするために使用するリストを決定するには、ブール型フラグとして使用される 2 つの DWORD 値があります。

  • "IgnoreDefaultList"

    set (値が存在し、0 以外) の場合、TBS は既定の blocked-commands リストを無視します。

  • "IgnoreLocalList"

    set (値が存在し、0 以外の値) の場合、TBS はローカルの blocked-commands リストを無視します。

グループ ポリシー オブジェクト エディター

グループ ポリシー オブジェクト エディターにアクセスするには

  1. [開始] をクリックします。
  2. [実行] をクリックします。
  3. [開く] ボックスに「 gpedit.msc」と入力します。 [OK] をクリックします。 グループ ポリシー オブジェクト エディターが開きます。
  4. [コンピューターの構成] を展開します。
  5. [ 管理用テンプレート] を展開します
  6. [ システム] を展開します。
  7. [ トラステッド プラットフォーム モジュール サービス] を展開します。

特定のブロックされた TPM1.2 コマンドの一覧は、次の場所で直接編集できます。

  • グループ ポリシーの一覧:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • ローカル リスト:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • 既定のリスト:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

これらの各レジストリ キーの下には、REG_SZ型のレジストリ値の一覧があります。 各値は、ブロックされた TPM コマンドを表します。 各レジストリ キーには、"値名" フィールドと "値データ" フィールドがあります。 両方のフィールド ("Value Name" と "Value data") は、ブロックする TPM コマンド序数の 10 進値と完全に一致する必要があります。

特定の許可された TPM 2.0 コマンドの一覧は、次の場所で直接編集できます。 レジストリ キーの下には、REG_DWORD型のレジストリ値の一覧があります。 各値は、許可されている TPM 2.0 コマンドを表します。 各レジストリ値には 、名前 フィールドがあります。 名前は、許可する必要がある 16 進数の TPM 2.0 コマンド序数と一致します。 コマンドが許可されている場合、 の値は 1 です。 コマンド序数が存在しないか、値が 0 の場合、コマンドはブロックされます。

  • 既定のリスト:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Windows 8、Windows Server 2012 以降では、BlockedCommands レジストリ キーと AllowedW8Commands レジストリ キーによって、管理者アカウントのブロックまたは許可される TPM コマンドがそれぞれ決定されます。 ユーザー アカウントには、 BlockedUserCommands レジストリ キーと AllowedW8UserCommands レジストリ キーに、それぞれブロックまたは許可される TPM コマンドの一覧があります。 Windows 10 バージョン 1607 では、AppContainer アプリケーションの BlockedAppContainerCommandsAllowedW8AppContainerCommands の新しいレジストリ キーが導入されました。