Poté co uživatel převezme vlastnictví čipu TPM (Trusted Platform Module), může jako vlastník čipu TPM nastavit omezení a určit, které příkazy čipu TPM bude možné spouštět prostřednictvím zásad skupiny nebo prostřednictvím modulu snap-in Správa čipu TPM.
Vysvětlení příkazů čipu TPM
Hardware TPM je pasivní hardwarové zařízení. Neinicializuje ani nepřerušuje procesy v počítači. Místo toho přijímá příkazy z jiných aplikací, například z ovladačů zařízení a operačních systémů, a reaguje na ně. Aktuální verze specifikace příkazů TPM definovaná organizací TCG (Trusted Computing Group) obsahuje skupinu 120 standardních příkazů pro ovládání čipu TPM. Tyto příkazy se zobrazí při výběru možnosti Správa příkazů v modulu snap-in Správa čipu TPM.
Odkazy na seznam příkazů Správy čipu TPM naleznete ve Specifikaci čipu TPM (
Blokování a povolování příkazů TPM
Podle potřeby můžete určit, které příkazy bude čip TPM v počítači akceptovat a na které bude reagovat. Provedete to tak, že vyberete příkaz v části Správa příkazů a potom rozhodnete, zda bude příkaz povolen (tzn. čip TPM ho bude akceptovat), nebo zda bude blokován (a čip TPM ho akceptovat nebude). Blokované příkazy mohou být uvedeny v jednom tří seznamů: výchozí seznam používaný operačním systémem, seznam uložený v místním počítači spravovaný místními správci a seznam příkazů řízený objekty zásad skupiny. Jestliže je příkaz čipu TPM v některém z uvedených seznamů obsažen, nebude čipem TPM blokován. Pokud se zablokovaný příkaz pokusí spustit služba nebo aplikace, bude službě nebo aplikaci, které příkaz odeslaly, vrácena chyba.
Další informace naleznete v tématu Řízení blokování příkazů čipu TPM pomocí modulu snap-in Správa čipu TPM.
Řízení příkazů čipu TPM pomocí zásad skupiny
Nastavení zásad skupiny pro služby TPM naleznete zde: Konfigurace počítače\Šablony pro správu\Systém\Služby TPM (Trusted Platform Module). V následující tabulce jsou podrobně uvedena nastavení zásad, pomocí kterých lze příkazy čipu TPM ovládat.
Název nastavení | Popis |
---|---|
Konfigurovat seznam blokovaných příkazů čipu TPM |
Pomocí tohoto nastavení zásad lze spravovat seznam příkazů čipu TPM zásad skupiny, které jsou systémem Windows blokovány. Pokud toto nastavení zásad skupiny povolíte, bude systém Windows blokovat příkazy, které v tomto nastavení zadáte. Nebudou tak do čipu TPM v daném počítači odesílány. Na příkazy TPM se odkazuje číslem příkazu. Například číslu příkazu 129 odpovídá příkaz TPM_OwnerReadInternalPub a číslu 170 příkaz TPM_FieldUpgrade. Chcete-li do tohoto seznamu přidat další příkazy, povolte nastavení a potom kliknutím na možnost Zobrazit otevřete seznam blokovaných příkazů. V dialogovém okně Zobrazit obsah klikněte do pole Hodnota a zadejte číslo příkazu, který chcete blokovat. Chcete-li blokovat více příkazů, zadávejte jednotlivá čísla příkazů na samostatné řádky v seznamu. Jestliže je toto nastavení zakázáno nebo není nakonfigurováno, není seznam blokování zásad skupiny použit a systém Windows bude blokovat pouze ty příkazy TPM, které byly uvedeny ve výchozím a místním seznamu. |
Ignorovat výchozí seznam blokovaných příkazů čipu TPM |
Pomocí tohoto nastavení zásad lze vynutit nebo ignorovat výchozí seznam blokovaných příkazů TPM počítače. Jestliže toto nastavení zásad povolíte, bude systém Windows výchozí seznam blokovaných příkazů čipu TPM počítače ignorovat a bude blokovat pouze příkazy čipu TPM, které byly nastaveny prostřednictvím zásad skupiny nebo v místním seznamu. Výchozí seznam blokovaných příkazů čipu TPM je v systém Windows předem nakonfigurován. Příkazy ve výchozím seznamu byly organizací Trusted Computing Group označeny za neplatné nebo u nich existují určité dopady z hlediska ochrany osobních údajů, které je potřeba zvážit, než je začnete s čipy TPM v organizaci používat. |
Ignorovat místní seznam blokovaných příkazů čipu TPM |
Pomocí tohoto nastavení zásad lze vynutit nebo ignorovat místní seznam blokovaných příkazů TPM počítače. Jestliže toto nastavení zásad povolíte, bude systém Windows místní seznam blokovaných příkazů čipu TPM počítače ignorovat a bude blokovat pouze příkazy čipu TPM, které byly nastaveny prostřednictvím zásad skupiny nebo ve výchozím seznamu. |
Další informace naleznete v tématu Řízení blokování příkazů čipu TPM pomocí zásad skupiny.
Blokování nových příkazů
Vzhledem k tomu, že někteří dodavatelé hardwaru mohou dodat další příkazy nebo že se organizace Trusted Computing Group rozhodne v budoucnosti přidat nové příkazy, podporuje modul Správa čipu TPM možnost blokovat nové příkazy prostřednictvím položky Zakázat nový příkaz v nabídce Akce. Pokud byste chtěli, aby čip TPM neakceptoval nějaký nový příkaz, klikněte na příkaz Zakázat nový příkaz a pak zadejte číslo příkazu.