Kun TPM (Trusted Platform Module) -turvapiirin omistajuus on määritetty, TPM-omistaja voi rajoittaa TPM-komentoja, joita voidaan suorittaa ryhmäkäytännön tai TPM-hallinnan avulla.
Tietoja TPM-komennoista
TPM-laitteisto on passiivinen laite. Se ei käynnistä tai keskeytä tietokoneen prosesseja. Sen sijaan se hyväksyy komentoja muilta sovelluksilta (kuten laiteohjaimilta ja käyttöjärjestelmiltä) ja vastaa niihin. Trusted Computing Groupin määrittämän TPM-komentomäärityksen nykyinen versio sisältää 120 vakiokomentoa, joita voi käyttää TPM-turvapiirin toiminnan ohjaamisessa. Nämä komennot näytetään, kun TPM-hallinnassa valitaan Komentojen hallinta.
TPM-hallinnan komentojen luetteloon liittyviä lisätietoja on Trusted Platform Module (TPM) -määrityksissä (
TPM-komentojen estäminen ja salliminen
Voit määrittää, mitkä komennot tietokoneen TPM-turvapiiri voi hyväksyä ja mihin se voi vastata, valitsemalla komennon Komentojen hallinta -toiminnossa ja päättämällä sitten, sallitaanko TPM-turvapiirin hyväksyä kyseinen komento vai estetäänkö TPM-turvapiiriä hyväksymästä sitä. Mahdollisia estettyjen komentojen luetteloita on kolme: käyttöjärjestelmään sisältyvä oletusluettelo, paikallisessa tietokoneessa ylläpidettävä paikallisten järjestelmänvalvojien hallitsema luettelo ja ryhmäkäytäntöobjektien ohjaama komentojen luettelo. Jos TPM-komento on jossakin näistä luetteloista, sen käyttö TPM-turvapiirille estetään. Jos jokin palvelu tai sovellus yrittää suorittaa estetyn komennon, komennon lähettäneelle palvelulle tai sovellukselle palautetaan virhe.
Lisätietoja on ohjeaiheessa TPM-komentojen estämisen hallinta TPM-hallinnan avulla.
TPM-komentojen hallinta ryhmäkäytännön avulla
TPM-palveluiden ryhmäkäytäntöasetukset sijaitsevat kohteessa Tietokoneasetukset\Hallintamallit\Järjestelmä\///Trusted Platform Module Services. Seuraavassa taulukossa on tiedot TPM-komentojen ohjaamisessa käytettävistä käytäntöasetuksista.
Asetuksen nimi | Kuvaus |
---|---|
///Configure the list of blocked TPM commands |
Tämän käytäntöasetuksen avulla voit hallita Windowsin estämien TPM-komentojen ryhmäkäytäntöluetteloa. Jos otat tämän käytäntöasetuksen käyttöön, Windows estää tässä asetuksessa määrittämiesi komentojen lähettämisen tietokoneen TPM-turvapiirille. TPM-komentoihin viitataan komennon numeron avulla. Esimerkiksi komento numero 129 on TPM_OwnerReadInternalPub ja komento numero 170 on TPM_FieldUpgrade. Jos haluat lisätä komentoja tähän luetteloon, ota tämä asetus käyttöön ja avaa estettyjen komentojen luettelo valitsemalla sitten Näytä. Napsauta Näytä sisältö -valintaikkunan Arvo-kenttää ja kirjoita estettävän komennon numero. Jos haluat estää useita komentoja, kirjoita jokainen komennon numero omalle rivilleen luettelossa. Jos tämä asetus on poistettu käytöstä tai sitä ei ole määritetty, ryhmäkäytännön estoluetteloa ei käytetä ja Windows estää vain oletusluetteloiden tai paikallisten luetteloiden kautta määritetyt TPM-komennot. |
///Ignore the default list of blocked TPM commands |
Tämän käytäntöasetuksen avulla voit ottaa käyttöön tai ohittaa tietokoneen estettyjen TPM-komentojen oletusluettelon. Jos otat tämän käytäntöasetuksen käyttöön, Windows ohittaa tietokoneen estettyjen TPM-komentojen oletusluettelon ja estää vain ryhmäkäytännön tai paikallisen luettelon määrittämät TPM-komennot. Windows on määrittänyt estettyjen TPM-komentojen luettelon valmiiksi. Trusted Computing Group -ryhmä on joko pienentänyt oletusluettelossa olevien komentojen vaikutusta tai niillä on tietosuojavaikutuksia, jotka pitää ottaa huomioon, ennen kuin näiden komentojen käyttäminen sallitaan organisaation TPM-turvapiirien kanssa. |
///Ignore the local list of blocked TPM commands |
Tämän käytäntöasetuksen avulla voit ottaa käyttöön tai ohittaa tietokoneen estettyjen TPM-komentojen paikallisen luettelon. Jos otat tämän käytäntöasetuksen käyttöön, Windows ohittaa tietokoneen estettyjen TPM-komentojen paikallisen luettelon ja estää vain ryhmäkäytännön tai oletusluettelon määrittämät TPM-komennot. |
Lisätietoja on ohjeaiheessa TPM-komentojen estämisen hallinta ryhmäkäytännön avulla.
Uusien komentojen estäminen
Koska jotkin laitteistotoimittajat ovat saattaneet antaa käyttöön lisäkomentoja tai Trusted Computing Group saattaa päättää lisätä uusia komentoja myöhemmin, TPM-hallinta tukee uusien komentojen estämistä Toiminto-valikon Estä uusi komento -toiminnon kautta. Jos on olemassa jokin lisäkomento, jota et halua TPM-turvapiirin pystyvän hyväksymään, valitse Estä uusi komento ja kirjoita sitten komennon numero.