Partilhar via

Bloqueio de comandos

  • Artigo

Para preservar a integridade das operações, determinados comandos TPM não podem ser executados por software na plataforma. Por exemplo, alguns comandos são executados apenas pelo software do sistema. Quando o TBS bloqueia um comando, um erro é retornado conforme apropriado. Por padrão, o TBS bloqueia comandos que podem afetar a privacidade, a segurança e a estabilidade do sistema. O TBS também assume que outras partes da pilha de software podem restringir o acesso a determinados comandos a entidades autorizadas.

Para comandos do TPM versão 1.2, há três listas de comandos bloqueados: uma lista controlada pela diretiva de grupo, uma lista controlada por administradores locais e uma lista padrão. Um comando TPM é bloqueado se estiver em qualquer uma das listas. No entanto, existem sinalizadores de política de grupo para permitir que o TBS ignore a lista local e a lista padrão. Os sinalizadores de política de grupo podem ser editados diretamente ou acessados por meio do Editor de Objeto de Diretiva de Grupo.

Observação

A lista de comandos bloqueados localmente não é preservada após uma atualização para o sistema operacional. Os comandos bloqueados na lista de Diretiva de Grupo são preservados.

 

Para comandos do TPM versão 2.0, a lógica de bloqueio é invertida; ele usa uma lista de comandos permitidos. Essa lógica bloqueará automaticamente comandos que não eram conhecidos quando a lista foi feita pela primeira vez. Quando os comandos são adicionados à especificação do TPM após o envio de uma versão do Windows, esses novos comandos são bloqueados automaticamente. Somente uma atualização do registro adicionará esses novos comandos à lista de comandos permitidos.

A partir do Windows 10 1809 (Windows Server 2019), os comandos TPM 2.0 permitidos não podem mais ser manipulados por meio das configurações do Registro. Para essas versões do Windows 10, os comandos permitidos do TPM 2.0 são corrigidos no driver TPM. Os comandos do TPM 1.2 ainda podem ser bloqueados e desbloqueados através de alterações no registo.

Acesso Direto ao Registro

Os sinalizadores de Diretiva de Grupo estão sob a chave do Registro HKEY_LOCAL_MACHINE\Diretivas de\de Software\Microsoft\Tpm\BlockedCommands.

Para determinar quais listas devem ser usadas para bloquear comandos TPM, há dois valores DWORD que são usados como sinalizadores booleanos:

  • "IgnoreDefaultList"

    Se definido (o valor existe e é diferente de zero), o TBS ignora a lista de comandos bloqueados padrão.

  • "IgnoreLocalList"

    Se definido (o valor existe e é diferente de zero), o TBS ignora a lista local de comandos bloqueados.

Editor de Objeto de Diretiva de Grupo

Para acessar o editor de objeto de Diretiva de Grupo

  1. Clique Iniciar.
  2. Clique Executar.
  3. Na caixa Abrir, digite gpedit.msc. Clique OK. O editor de objeto de Diretiva de Grupo é aberto.
  4. Expanda Configuração do Computador.
  5. Expanda Modelos Administrativos.
  6. Expanda System.
  7. Expanda Trusted Platform Module Services.

As listas de comandos TPM1.2 bloqueados específicos podem ser editadas diretamente nos seguintes locais.

  • Lista de políticas de grupo:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lista local:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Lista padrão:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Em cada uma dessas chaves do Registro, há uma lista de valores do Registro de REG_SZ tipo. Cada valor representa um comando TPM bloqueado. Cada chave do Registro tem um campo "Nome do valor" e um campo "Dados do valor". Ambos os campos ("Nome do valor" e "Dados do valor") devem corresponder exatamente ao valor decimal do ordinal do comando TPM a ser bloqueado.

A lista de comandos específicos permitidos do TPM 2.0 pode ser editada diretamente no seguinte local. Sob a chave do Registro, há uma lista de valores do Registro de REG_DWORD tipo. Cada valor representa um comando TPM 2.0 permitido. Cada valor do Registro tem um nome e um valor campo. O nome corresponde ao ordinal hexadecimal do comando TPM 2.0 que deve ser permitido. O valor tem um valor de 1 se o comando for permitido. Se um ordinal de comando não estiver presente ou tiver um valor de 0, o comando será bloqueado.

  • Lista padrão:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Para o Windows 8, Windows Server 2012 e versões posteriores, os BlockedCommands e AllowedW8Commands chaves do Registro, respectivamente, determinam os comandos TPM bloqueados ou permitidos para contas de administrador. As contas de usuário têm uma lista de comandos TPM bloqueados ou permitidos no BlockedUserCommands e AllowedW8UserCommands chaves do Registro, respectivamente. No Windows 10, versão 1607, novas chaves do Registro foram introduzidas para aplicativos AppContainer: BlockedAppContainerCommands e AllowedW8AppContainerCommands.