Po określeniu właściciela modułu TPM (Trusted Platform Module) może on ograniczyć listę poleceń tego modułu, które można wykonywać za pomocą zasad grupy lub przystawki Zarządzanie modułem TPM.

Omówienie poleceń modułu TPM

Sprzętowy moduł TPM jest urządzeniem pasywnym. Nie inicjuje on ani nie zakłóca procesów w komputerze. Zamiast tego akceptuje polecenia od innych aplikacji, takich jak sterowniki urządzeń i systemy operacyjne, i odpowiada na nie. Aktualna wersja specyfikacji poleceń modułu TPM zdefiniowana przez organizację Trusted Computing Group zawiera zestaw 120 standardowych poleceń służących do sterowania działaniem modułu TPM. Polecenia te są wyświetlane po wybraniu opcji Zarządzanie poleceniami w przystawce Zarządzanie modułem TPM.

Aby uzyskać informacje na temat poleceń z listy w przystawce Zarządzanie modułem TPM, zobacz specyfikację modułu TPM (https://go.microsoft.com/fwlink/?LinkID=139770, strona może zostać wyświetlona w języku angielskim).

Blokowanie poleceń modułu TPM i zezwalanie na nie

Można kontrolować, które polecenia moduł TPM w komputerze może akceptować i odpowiadać na nie, wybierając polecenie w obszarze Zarządzanie poleceniami, a następnie decydując, czy dane polecenie może być akceptowane przez moduł TPM, czy też ma być blokowane. Istnieją trzy listy zablokowanych poleceń: domyślna lista dostarczana przez system operacyjny, lista przechowywana na komputerze lokalnym i zarządzana przez lokalnych administratorów, a także lista poleceń kontrolowana przez obiekty zasad grupy. Jeśli polecenie modułu TPM znajduje się na którejkolwiek z tych list, będzie ono blokowane dla modułu TPM. Jeśli usługa lub aplikacja podejmie próbę wykonania zablokowanego polecenia, zostanie do niej zwrócony błąd.

Aby uzyskać więcej informacji, zobacz temat Sterowanie blokowaniem poleceń TPM za pomocą przystawki Zarządzanie modułem TPM.

Kontrolowanie poleceń modułu TPM za pomocą zasad grupy

Ustawienia zasad grupy dla usług modułu TPM znajdują się w lokalizacji Konfiguracja komputera\Szablony administracyjne\System\Usługi TPM. W poniższej tabeli wymieniono szczegółowo ustawienia zasad, które mogą służyć do kontrolowania poleceń modułu TPM.

Nazwa ustawienia Opis

Konfigurowanie listy blokowanych poleceń modułu TPM

To ustawienie zasad umożliwia zarządzanie listą zasad grupy dla poleceń modułu TPM blokowanych przez system Windows. Włączenie tego ustawienia zasad powoduje, że system Windows będzie blokować polecenia określone w tym ustawieniu przed wysyłaniem ich do modułu TPM w komputerze. Do poleceń modułu TPM można odwoływać się za pomocą ich numerów. Na przykład polecenie o numerze 129 to polecenie TPM_OwnerReadInternalPub, a polecenie o numerze 170 to polecenie TPM_FieldUpgrade. Aby dodać polecenia do tej listy, należy włączyć to ustawienie, a następnie kliknąć przycisk Pokaż w celu otwarcia listy zablokowanych poleceń. W oknie dialogowym Pokazywanie zawartości kliknij w polu Wartość i wpisz numer polecenia, które ma być blokowane. Aby zablokować więcej poleceń, należy wprowadzić numer każdego z poleceń w osobnym wierszu listy.

Jeśli to ustawienie jest wyłączone lub nie jest skonfigurowane, lista blokowania zasad grupy nie jest używana, a blokowane przez system Windows są tylko polecenia modułu TPM określone na liście domyślnej lub lokalnej.

Ignorowanie listy domyślnej blokowanych poleceń modułu TPM

To ustawienie zasad umożliwia egzekwowanie lub ignorowanie domyślnej listy blokowanych poleceń modułu TPM na komputerze. Po włączeniu tego ustawienia zasad system Windows będzie ignorować domyślną listę blokowanych poleceń modułu TPM na komputerze i będzie blokować tylko polecenia modułu TPM określone w zasadach grupy lub na liście lokalnej. Domyślna lista blokowanych poleceń modułu TPM jest wstępnie skonfigurowana przez system Windows. Polecenia zawarte na liście domyślnej zostały zaniechane przez organizację Trusted Computing Group lub mają wpływ na zachowanie prywatności, co należy rozważyć przed zezwoleniem na korzystanie z tych poleceń z modułami TPM w organizacji.

Ignorowanie listy lokalnej blokowanych poleceń modułu TPM

To ustawienie zasad umożliwia egzekwowanie lub ignorowanie lokalnej listy blokowanych poleceń modułu TPM na komputerze. Po włączeniu tego ustawienia zasad system Windows będzie ignorować lokalną listę blokowanych poleceń modułu TPM na komputerze i będzie blokować tylko polecenia modułu TPM określone w zasadach grupy lub na liście domyślnej.

Aby uzyskać więcej informacji, zobacz temat Sterowanie blokowaniem poleceń TPM za pomocą zasad grupy.

Blokowanie nowych poleceń

Ponieważ niektórzy dostawcy sprzętu mogą dostarczać dodatkowe polecenia lub organizacja Trusted Computing Group może zdecydować w przyszłości o wprowadzeniu nowych poleceń, przystawka Zarządzanie modułem TPM obsługuje możliwość blokowania nowych poleceń za pomocą pozycji Blokuj nowe polecenie w menu Akcja. Jeśli istnieje dodatkowe polecenie, którego moduł TPM nie powinien móc akceptować, należy kliknąć pozycję Blokuj nowe polecenie i wpisać numer tego polecenia.