Når ejerskabet af TPM (Trusted Platform Module) er blevet tildelt, kan TPM-ejeren begrænse, hvilke TPM-kommandoer der kan udføres ved hjælp af Gruppepolitik eller TPM-administration.

Om TPM-kommandoer

TPM-hardwaren er en passiv hardwareenhed. Den starter eller afbryder ikke processer på computeren. I stedet accepterer og reagerer den på kommandoer fra andre programmer, f.eks. enhedsdrivere og operativsystemer. Den aktuelle version af TPM-kommandospecifikationen, som er angivet af Trusted Computing Group, indeholder et sæt bestående af 120 standardkommandoer, der kan bruges til at styre betjeningen af TPM. Disse kommandoer vises, når du vælger Kommandostyring i TPM-administration.

Du kan finde en henvisning til listen over kommandoer i TPM-administration i TPM-specifikationerne (Trusted Platform Module). Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkID=139770).

Blokere og tillade TPM-kommandoer

Du kan styre, hvilke kommandoer computerens TPM skal acceptere og reagere på ved at vælge kommandoen i Kommandostyring og derefter beslutte, om du vil give tilladelse til, at TPM accepterer den pågældende kommando, eller om du vil blokere den pågældende kommando fra at blive accepteret af TPM. Der findes tre mulige lister over blokerede kommandoer: standardlisten, der leveres af operativsystemet, en liste, der vedligeholdes på den lokale computer og administreres af lokale administratorer, samt listen over kommandoer, der styres af gruppepolitikobjekter. Hvis en TPM-kommando er angivet på en af disse lister, blokeres den fra TPM. Hvis en tjeneste eller et program forsøger at køre en blokeret kommando, returneres der en fejl til den tjeneste eller det program, der sendte kommandoen.

Du kan finde flere oplysninger under Kontrollere blokering af TPM-kommandoer ved hjælp af TPM-administration.

Brug af Gruppepolitik til at styre TPM-kommandoer

Gruppepolitikindstillingerne for TPM-tjenester findes under Computerkonfiguration\Administrative skabeloner\System\Trusted Platform Module-tjenester. I nedenstående tabel findes en detaljeret beskrivelse af de politikindstillinger, der kan bruges til at styre TPM-kommandoer.

Navn på indstilling Beskrivelse

Konfigurer listen over blokerede TPM-kommandoer

Denne politikindstilling giver dig mulighed for at administrere gruppepolitiklisten over de TPM-kommandoer, der er blokeret af Windows. Hvis du aktiverer denne politikindstilling, blokeres de kommandoer, du angiver i denne indstilling, så de ikke sendes til TPM på computeren. Der henvises til TPM-kommandoer via et kommandonummer. Kommandonummer 129 er f.eks. TPM_OwnerReadInternalPub, og kommandonummer 170 er TPM_FieldUpgrade. Hvis du vil føje kommandoer til denne liste, skal du aktivere indstillingen og derefter klikke på Vis for at åbne listen over blokerede kommandoer. Klik på feltet Værdi i dialogboksen Vis indhold, og angiv det kommandonummer, du vil blokere. Hvis du vil blokere flere kommandoer, skal du angive hvert enkelt kommandonummer på en separat linje på listen.

Hvis denne indstilling er deaktiveret eller ikke er konfigureret, anvendes gruppepolitikblokeringslisten, og det er kun de TPM-kommandoer, der er angivet på standardlisterne eller de lokale lister, som blokeres af Windows.

Ignorer standardlisten over blokerede TPM-kommandoer

Denne politikindstilling giver dig mulighed for at gennemtvinge eller ignorere computerens standardliste over blokerede TPM-kommandoer. Hvis du aktiverer denne politikindstilling, ignoreres computerens standardliste over blokerede TPM-kommandoer, og det er kun de TPM-kommandoer, der er angivet af gruppepolitikken eller på den lokale liste, som blokeres. Standardlisten over blokerede TPM-kommandoer er forudkonfigureret af Windows. Kommandoerne på standardlisten er enten blevet frarådet af Trusted Computing Group eller er forbundet med implikationer i forbindelse med beskyttelse af personlige oplysninger, der bør tages i betragtning, inden du tillader, at disse kommandoer bruges sammen med TPM'er i din organisation.

Ignorer den lokale liste over blokerede TPM-kommandoer

Denne politikindstilling giver dig mulighed for at gennemtvinge eller ignorere computerens lokale liste over blokerede TPM-kommandoer. Hvis du aktiverer denne politikindstilling, ignoreres computerens lokale liste over blokerede TPM-kommandoer, og det er kun de TPM-kommandoer, der er angivet af gruppepolitikken eller på standardlisten, som blokeres.

Du kan finde flere oplysninger under Administrere blokering af TPM-kommandoer med Gruppepolitik.

Blokere nye kommandoer

Da nogle hardwareleverandører muligvis har leveret flere kommandoer, eller Trusted Computing Group muligvis beslutter sig for at tilføje nye kommandoer i fremtiden, understøtter TPM-administration muligheden for at blokere nye kommandoer via elementet Bloker ny kommando i menuen Handling. Hvis der findes endnu en kommando, som TPM skal kunne acceptere, skal du klikke på Bloker ny kommando og derefter angive nummeret på kommandoen.