Nachdem der Trusted Platform Module-Besitz (TPM) übernommen wurde, kann der TPM-Besitzer die TPM-Befehle beschränken, die über die Gruppenrichtlinie oder das TPM-Verwaltungs-Snap-In ausgeführt werden können.
Grundlegendes zu TPM-Befehlen
Die TPM-Hardware ist ein passives Hardwaregerät. Von der TPM-Hardware werden Prozesse auf dem Computer weder initiiert noch unterbrochen. Stattdessen nimmt das TPM Befehle von anderen Anwendungen an, beispielsweise vom Gerätetreiber oder Betriebssystem, und reagiert darauf. Die aktuelle Version der von der Trusted Computing Group (TCG) definierten TPM-Befehlsspezifikation stellt einen Satz von 120 Standardbefehlen bereit, die zum Steuern der TPM-Funktionsweise verwendet werden können. Diese Befehle werden angezeigt, wenn Sie im TPM-Verwaltungs-Snap-In die Option Befehlsverwaltung auswählen.
Eine Referenz zur Liste der Befehle in der TPM-Verwaltung finden Sie in den TPM-Spezifikationen unter
Blockieren und Zulassen von TPM-Befehlen
Sie können steuern, welche Befehle das TPM im Computer annehmen kann, indem Sie den Befehl unter Befehlsverwaltung auswählen und dann entscheiden, ob die Annahme des Befehls durch das TPM zulässig ist oder blockiert wird. Es gibt drei mögliche Listen mit blockierten Befehlen: die mit dem Betriebssystem bereitgestellte Standardliste, die auf dem lokalen Computer vorhandene und von den lokalen Administratoren verwaltete Liste und die Liste von Befehlen, die von Gruppenrichtlinienobjekten gesteuert werden. Wenn ein TPM-Befehl in einer der Listen aufgeführt ist, wird er vom TPM blockiert. Versucht ein Dienst oder eine Anwendung, einen blockierten Befehl auszuführen, wird ein Fehler an den Dienst oder die Anwendung zurückgegeben.
Weitere Informationen finden Sie unter Steuern der TPM-Befehlsblockierung mithilfe der TPM-Verwaltung.
Verwenden von Gruppenrichtlinien zum Steuern von TPM-Befehlen
Die Gruppenrichtlinieneinstellungen für TPM-Dienste befinden sich im Verzeichnis Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform Module-Dienste. In der folgenden Tabelle sind die Richtlinieneinstellungen aufgeführt, die zum Steuern von TPM-Befehlen verwendet werden können.
Richtlinieneinstellung | Beschreibung |
---|---|
Liste der blockierten TPM-Befehle konfigurieren |
Mit dieser Richtlinieneinstellung können Sie die Gruppenrichtlinienliste von TPM-Befehlen verwalten, die von Windows blockiert werden. Wenn Sie diese Einstellung aktivieren, werden die in dieser Einstellung angegebenen Befehle von Windows blockiert und nicht an das TPM im Computer geleitet. Auf TPM-Befehle wird mithilfe einer Befehlsnummer verwiesen. Die Befehlsnummer 129 steht beispielsweise für den Befehl TPM_OwnerReadInternalPub und die Befehlsnummer 170 für den Befehl TPM_FieldUpgrade. Sie können dieser Liste Befehle hinzufügen, indem Sie die Einstellung aktivieren und dann auf Anzeigen klicken, um die Liste der blockierten Befehle zu öffnen. Klicken Sie im Dialogfeld Inhalt anzeigen in das Feld Wert, und geben Sie die Nummer des Befehls ein, den Sie blockieren möchten. Wenn Sie mehrere Befehle blockieren möchten, geben Sie jede Befehlsnummer separat in eine Zeile der Liste ein. Ist diese Einstellung deaktiviert oder nicht konfiguriert, wird die Liste mit Blockierungen für Gruppenrichtlinien nicht verwendet, und nur die TPM-Befehle, die in der Standardliste oder lokalen Liste mit Blockierungen aufgeführt sind, werden von Windows blockiert. |
Standardliste der blockierten TPM-Befehle ignorieren |
Diese Richtlinieneinstellung ermöglicht Ihnen, die Standardliste der blockierten TPM-Befehle auf dem Computer zu ignorieren. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Standardliste der blockierten TPM-Befehle auf dem Computer ignoriert. Von Windows werden nur die Befehle blockiert, die in der lokalen Liste mit Blockierungen oder in der Liste mit Blockierungen für Gruppenrichtlinien angegeben sind. Die Standardliste mit blockierten TPM-Befehlen ist unter Windows vorkonfiguriert. Die Befehle in der Standardliste mit Blockierungen wurden entweder von der Trusted Computing Group (TCG) verworfen oder haben Auswirkungen auf den Datenschutz, die berücksichtigt werden sollten, bevor die Verwendung dieser Befehle durch das TPM in Ihrem Unternehmen zugelassen wird. |
Lokale Liste der blockierten TPM-Befehle ignorieren |
Diese Richtlinieneinstellung ermöglicht Ihnen, die lokale Liste der blockierten TPM-Befehle auf dem Computer zu ignorieren. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die lokale Liste der blockierten TPM-Befehle auf dem Computer ignoriert. Von Windows werden nur die Befehle blockiert, die in der Standardliste mit Blockierungen oder in der Liste mit Blockierungen für Gruppenrichtlinien angegeben sind. |
Weitere Informationen finden Sie unter Steuern der TPM-Befehlsblockierung mit Gruppenrichtlinien.
Blockieren neuer Befehle
Da einige Hardwarehersteller möglicherweise zusätzliche Befehle bereitgestellt haben (oder die Trusted Computing Group sich in Zukunft möglicherweise entscheidet, neue Befehle hinzuzufügen) können neue Befehle über das TPM-Verwaltungs-Snap-In blockiert werden, indem im Menü Aktion die Option Neuen Befehl blockieren ausgewählt wird. Wenn ein Befehl hinzugefügt wurde, der nicht vom TPM angenommen werden soll, klicken Sie auf Neuen Befehl blockieren, und geben Sie dann die Nummer des Befehls ein.