Поделиться через

Блокировка команд

  • Статья

Для сохранения целостности операций некоторые команды доверенного платформенного модуля не могут выполняться программным обеспечением на платформе. Например, некоторые команды выполняются только системным программным обеспечением. Когда ТБS блокирует команду, ошибка возвращается соответствующим образом. По умолчанию ТБS блокирует команды, которые могут повлиять на конфиденциальность системы, безопасность и стабильность. В ТБS также предполагается, что другие части стека программного обеспечения могут ограничить доступ к определенным командам авторизованным сущностям.

Для команд TPM версии 1.2 существует три списка заблокированных команд: список, контролируемый групповой политикой, список, контролируемый локальными администраторами, и список по умолчанию. Команда доверенного платформенного модуля блокируется, если она находится в любом из списков. Однако существуют флаги групповой политики, позволяющие ТБS игнорировать локальный список и список по умолчанию. Флаги групповой политики можно изменять напрямую или обращаться через редактор объектов групповой политики.

Заметка

Список локально заблокированных команд не сохраняется после обновления операционной системы. Команды, заблокированные в списке групповой политики, сохраняются.

 

Для команд TPM версии 2.0 логика блокировки инвертируется; в нем используется список разрешенных команд. Эта логика автоматически блокирует команды, которые не были известны при первом создании списка. Когда команды добавляются в спецификацию доверенного платформенного модуля после отправки версии Windows, эти новые команды автоматически блокируются. Только обновление реестра добавит эти новые команды в список разрешенных команд.

Начиная с Windows 10 1809 (Windows Server 2019), разрешенные команды TPM 2.0 больше не могут управляться с помощью параметров реестра. Для этих версий Windows 10 разрешенные команды TPM 2.0 фиксируются в драйвере TPM. Команды TPM 1.2 по-прежнему могут быть заблокированы и разблокированы с помощью изменений реестра.

Прямой доступ к реестру

Флаги групповой политики находятся в разделе реестра HKEY_LOCAL_MACHINE\политик программного обеспечения\\Microsoft\Tpm\BlockedCommands.

Чтобы определить, какие списки следует использовать для блокировки команд TPM, существует два значения DWORD, которые используются в качестве логических флагов:

  • "IgnoreDefaultList"

    Если задано значение (значение существует и ненулевое), ТБS игнорирует список заблокированных команд по умолчанию.

  • "IgnoreLocalList"

    Если задано (значение существует и ненулевое значение), ТБS игнорирует список локальных заблокированных команд.

Редактор объектов групповой политики

Доступ к редактору объектов групповой политики

  1. Нажмите кнопку Пуск.
  2. Щелкните Запустить.
  3. В поле Open введите gpedit.msc. Нажмите кнопку ОК. Откроется редактор объектов групповой политики.
  4. Разверните конфигурации компьютера.
  5. Разверните административные шаблоны.
  6. Разверните system.
  7. Разверните служб доверенных платформенных модулей.

Списки определенных заблокированных команд TPM1.2 можно редактировать непосредственно в следующих расположениях.

  • Список групповой политики:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Локальный список:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Список по умолчанию:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

В каждом из этих разделов реестра есть список значений реестра REG_SZ типа. Каждое значение представляет заблокированную команду TPM. Каждый раздел реестра имеет поле "Имя значения" и поле "Данные значения". Оба поля ("Имя значения" и "Данные значения") должны точно соответствовать десятичному значению команды TPM порядковый номер, который должен быть заблокирован.

Список определенных разрешенных команд TPM 2.0 можно изменить непосредственно в следующем расположении. В разделе реестра есть список значений реестра REG_DWORD типа. Каждое значение представляет разрешенную команду TPM 2.0. Каждое значение реестра имеет имя и поле значения. Имя соответствует шестнадцатеричной команде TPM 2.0, которая должна быть разрешена. Значение имеет значение 1, если команда разрешена. Если порядковый номер команды отсутствует или имеет значение 0, команда будет заблокирована.

  • Список по умолчанию:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Для Windows 8, Windows Server 2012 и более поздних версий заблокированные и AllowedW8Commands разделы реестра соответственно определяют заблокированные или разрешенные команды доверенного платформенного модуля для учетных записей администратора. Учетные записи пользователей имеют список заблокированных или разрешенных команд TPM в разделах реестра BlockedUserCommands и AllowedW8UserCommands реестра соответственно. В Windows 10 версии 1607 новые разделы реестра появились для приложений AppContainer: BlockedAppContainerCommands и AllowedW8AppContainerCommands.