Delen via

Opdracht blokkeren

  • Artikel

Om de integriteit van bewerkingen te behouden, mogen bepaalde TPM-opdrachten niet worden uitgevoerd door software op het platform. Sommige opdrachten worden bijvoorbeeld alleen uitgevoerd door systeemsoftware. Wanneer de TBS een opdracht blokkeert, wordt een fout geretourneerd, indien van toepassing. De TBS blokkeert standaard opdrachten die van invloed kunnen zijn op de privacy, beveiliging en stabiliteit van het systeem. De TBS gaat er ook vanuit dat andere onderdelen van de softwarestack de toegang tot bepaalde opdrachten tot geautoriseerde entiteiten kunnen beperken.

Voor TPM-opdrachten versie 1.2 zijn er drie lijsten met geblokkeerde opdrachten: een lijst die wordt beheerd door groepsbeleid, een lijst die wordt beheerd door lokale beheerders en een standaardlijst. Een TPM-opdracht wordt geblokkeerd als deze zich op een van de lijsten bevindt. Er zijn echter groepsbeleidsvlagmen waarmee de TBS de lokale lijst en de standaardlijst kan negeren. De groepsbeleidsvlagmen kunnen rechtstreeks worden bewerkt of geopend via de groepsbeleidsobjecteditor.

Notitie

De lijst met lokaal geblokkeerde opdrachten blijft niet behouden na een upgrade naar het besturingssysteem. Opdrachten die in de lijst Groepsbeleid zijn geblokkeerd, blijven behouden.

 

Voor TPM-opdrachten van versie 2.0 wordt de logica voor blokkeren omgekeerd; er wordt een lijst met toegestane opdrachten gebruikt. Met deze logica worden automatisch opdrachten geblokkeerd die niet bekend waren toen de lijst voor het eerst werd gemaakt. Wanneer opdrachten worden toegevoegd aan de TPM-specificatie nadat een versie van Windows is verzonden, worden deze nieuwe opdrachten automatisch geblokkeerd. Alleen een update van het register voegt deze nieuwe opdrachten toe aan de lijst met toegestane opdrachten.

Vanaf Windows 10 1809 (Windows Server 2019) kunnen toegestane TPM 2.0-opdrachten niet meer worden gemanipuleerd via registerinstellingen. Voor deze Windows 10-versies zijn de toegestane TPM 2.0-opdrachten opgelost in het TPM-stuurprogramma. TPM 1.2-opdrachten kunnen nog steeds worden geblokkeerd en gedeblokkeerd via registerwijzigingen.

Directe registertoegang

De groepsbeleidsvlagmen vallen onder registersleutel HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Tpm\BlockedCommands.

Om te bepalen welke lijsten moeten worden gebruikt om TPM-opdrachten te blokkeren, zijn er twee DWORD- waarden die worden gebruikt als Booleaanse vlaggen:

  • "IgnoreDefaultList"

    Als de waarde is ingesteld (waarde bestaat en niet-nul is), negeert de TBS de lijst met standaard geblokkeerde opdrachten.

  • "IgnoreLocalList"

    Als deze is ingesteld (de waarde bestaat en niet-nul is), negeert de TBS de lijst met lokale geblokkeerde opdrachten.

Groepsbeleidsobjecteditor

Voor toegang tot de groepsbeleidsobjecteditor

  1. Klik op Start.
  2. Klik op uitvoeren.
  3. Typ in het vak openen gpedit.msc. Klik op OK-. De objecteditor Groepsbeleid wordt geopend.
  4. Vouw computerconfiguratieuit.
  5. Vouw beheersjablonenuit.
  6. Vouw Systemuit.
  7. Vouw Trusted Platform Module Servicesuit.

De lijsten met specifieke geblokkeerde TPM1.2-opdrachten kunnen rechtstreeks op de volgende locaties worden bewerkt.

  • Lijst met groepsbeleid:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lokale lijst:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Standaardlijst:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Onder elk van deze registersleutels bevindt zich een lijst met registerwaarden van REG_SZ type. Elke waarde vertegenwoordigt een geblokkeerde TPM-opdracht. Elke registersleutel heeft een veld 'Waardenaam' en een veld 'Waardegegevens'. Beide velden ('Waardenaam' en 'Waardegegevens') moeten exact overeenkomen met de decimale waarde van de TPM-opdrachtopdracht die moet worden geblokkeerd.

De lijst met specifieke toegestane TPM 2.0-opdrachten kan rechtstreeks op de volgende locatie worden bewerkt. Onder de registersleutel bevindt zich een lijst met registerwaarden van REG_DWORD type. Elke waarde vertegenwoordigt een toegestane TPM 2.0-opdracht. Elke registerwaarde heeft een naam en een waarde veld. De naam overeenkomt met het hexadecimale TPM 2.0-opdrachtwoord dat moet worden toegestaan. De waarde een waarde van 1 heeft als de opdracht is toegestaan. Als een opdrachtwoord niet aanwezig is of een waarde van 0 heeft, wordt de opdracht geblokkeerd.

  • Standaardlijst:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Voor Windows 8, Windows Server 2012 en hoger bepalen respectievelijk de BlockedCommands en AllowedW8Commands registersleutels de geblokkeerde of toegestane TPM-opdrachten voor beheerdersaccounts. Gebruikersaccounts hebben een lijst met geblokkeerde of toegestane TPM-opdrachten in respectievelijk de BlockedUserCommands en AllowedW8UserCommands registersleutels. In Windows 10 versie 1607 zijn nieuwe registersleutels geïntroduceerd voor AppContainer-toepassingen: BlockedAppContainerCommands en AllowedW8AppContainerCommands.