Udostępnij za pośrednictwem

Blokowanie poleceń

  • Artykuł

Aby zachować integralność operacji, niektóre polecenia modułu TPM nie mogą być wykonywane przez oprogramowanie na platformie. Na przykład niektóre polecenia są wykonywane tylko przez oprogramowanie systemowe. Gdy usługa TBS blokuje polecenie, zwracany jest odpowiedni błąd. Domyślnie usługa TBS blokuje polecenia, które mogą mieć wpływ na prywatność systemu, bezpieczeństwo i stabilność. TbS zakłada również, że inne części stosu oprogramowania mogą ograniczyć dostęp do niektórych poleceń autoryzowanych jednostek.

W przypadku poleceń modułu TPM w wersji 1.2 istnieją trzy listy zablokowanych poleceń: lista kontrolowana przez zasady grupy, lista kontrolowana przez administratorów lokalnych i lista domyślna. Polecenie modułu TPM jest blokowane, jeśli znajduje się na dowolnej liście. Istnieją jednak flagi zasad grupy, aby umożliwić TBS ignorowanie listy lokalnej i listy domyślnej. Flagi zasad grupy można edytować bezpośrednio lub uzyskiwać do ich dostępu za pośrednictwem Edytora obiektów zasad grupy.

Nuta

Lista poleceń zablokowanych lokalnie nie jest zachowywana po uaktualnieniu do systemu operacyjnego. Polecenia zablokowane na liście zasad grupy są zachowywane.

 

W przypadku poleceń modułu TPM w wersji 2.0 logika blokowania jest odwrócona; używa listy dozwolonych poleceń. Ta logika automatycznie zablokuje polecenia, które nie były znane po pierwszym utworzeniu listy. Gdy polecenia są dodawane do specyfikacji modułu TPM po wysłaniu wersji systemu Windows, te nowe polecenia są automatycznie blokowane. Tylko aktualizacja rejestru spowoduje dodanie tych nowych poleceń do listy dozwolonych poleceń.

Począwszy od systemu Windows 10 1809 (Windows Server 2019), dozwolone polecenia TPM 2.0 nie mogą już być manipulowane za pomocą ustawień rejestru. W przypadku tych wersji systemu Windows 10 dozwolone polecenia modułu TPM 2.0 są stałe w sterowniku TPM. Polecenia modułu TPM 1.2 mogą być nadal blokowane i odblokowane za pośrednictwem zmian rejestru.

Bezpośredni dostęp do rejestru

Flagi zasad grupy znajdują się w obszarze klucza rejestru HKEY_LOCAL_MACHINE\Zasady\oprogramowania\Microsoft\Tpm\BlockedCommands.

Aby określić, które listy powinny być używane do blokowania poleceń modułu TPM, istnieją dwie wartości DWORD, które są używane jako flagi logiczne:

  • "IgnoreDefaultList"

    Jeśli ustawiono wartość (wartość istnieje i jest niezerowa), usługa TBS ignoruje domyślną listę zablokowanych poleceń.

  • "IgnoreLocalList"

    Jeśli ustawiono wartość (wartość istnieje i jest niezerowa), usługa TBS ignoruje listę lokalnych zablokowanych poleceń.

Edytor obiektów zasad grupy

Aby uzyskać dostęp do edytora obiektów zasad grupy

  1. Kliknij pozycję Uruchom.
  2. Kliknij pozycję Uruchom.
  3. W Otwórz wpisz gpedit.msc. Kliknij przycisk OK. Zostanie otwarty edytor obiektów zasad grupy.
  4. Rozwiń Konfiguracja komputera.
  5. Rozwiń Szablony administracyjne.
  6. Rozwiń węzeł System.
  7. Rozwiń węzeł Trusted Platform Module Services.

Listy określonych zablokowanych poleceń TPM1.2 można edytować bezpośrednio w następujących lokalizacjach.

  • Lista zasad grupy:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lista lokalna:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Lista domyślna:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

W każdym z tych kluczy rejestru znajduje się lista wartości rejestru typu REG_SZ. Każda wartość reprezentuje zablokowane polecenie modułu TPM. Każdy klucz rejestru ma pole "Nazwa wartości" i pole "Dane wartości". Oba pola ("Nazwa wartości" i "Dane wartości") powinny dokładnie odpowiadać wartości dziesiętnej polecenia modułu TPM, które mają być zablokowane.

Listę określonych dozwolonych poleceń modułu TPM 2.0 można edytować bezpośrednio w następującej lokalizacji. W kluczu rejestru znajduje się lista wartości rejestru typu REG_DWORD. Każda wartość reprezentuje dozwolone polecenie modułu TPM 2.0. Każda wartość rejestru ma nazwę i pole wartości. Nazwa jest zgodna z szesnastkowym modułem TPM 2.0, które powinny być dozwolone. Wartość ma wartość 1, jeśli polecenie jest dozwolone. Jeśli polecenie nie jest obecne lub ma wartość 0, polecenie zostanie zablokowane.

  • Lista domyślna:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

W przypadku systemu Windows 8, Windows Server 2012 i nowszych BlockedCommands i AllowedW8Commands klucze rejestru określają zablokowane lub dozwolone polecenia modułu TPM dla kont administratorów. Konta użytkowników mają listę zablokowanych lub dozwolonych poleceń modułu TPM w BlockedUserCommands i AllowedW8UserCommands kluczy rejestru. W systemie Windows 10 w wersji 1607 wprowadzono nowe klucze rejestru dla aplikacji AppContainer: BlockedAppContainerCommands i AllowedW8AppContainerCommands.