Parancskezelés

Miután a platformmegbízhatósági modult (TPM) tulajdonba vették, a TPM tulajdonosa korlátozhatja a végrehajtható TPM-parancsok körét a csoportházirend vagy a TPM kezelése konzol segítségével.

Tudnivalók a TPM-parancsokról

A TPM hardver egy passzív hardvereszköz. Nem indít és nem szakít meg folyamatokat a számítógépen. Ehelyett más alkalmazások, például eszközmeghajtók és operációs rendszerek parancsait fogadja el, és ezekre válaszol. A Trusted Computing Group által meghatározott TPM-parancs specifikáció jelenlegi verziója 120 szabványos parancsot ad meg a TPM modul működésének vezérléséhez. Ezek a programok megjelennek a képernyőn, ha kiválasztja a TPM kezelés konzol Parancskezelés pontját.

A TPM kezelése konzol parancsairól további információkat tudhat meg, ha megtekinti a platformmegbízhatósági modul (TPM) specifikációit (https://go.microsoft.com/fwlink/?LinkID=139770 (előfordulhat, hogy a lap angol nyelven jelenik meg)).

TPM-parancsok blokkolása és engedélyezése

Szabályozhatja, hogy a számítógépében levő TPM modul mely parancsokat fogadhatja el és melyekre válaszolhat, ha kiválasztja a parancsot a Parancskezelés lapon, és aztán eldönti, hogy a parancs elfogadását engedélyezi-e a TPM modulnak, vagy letiltja az elfogadását. A letiltott parancsoknak három lehetséges listája létezik: az operációs rendszerhez megadott alapértelmezett lista, a helyi számítógépen fenntartott lista, amelyet a helyi rendszergazdák kezelnek, valamint a csoportházirend-objektumok által vezérelt parancslista. Ha valamelyik listában megtalálható a TPM-parancs, akkor le lesz tiltva a TPM modul számára. Ha a letiltott parancsot valamely szolgáltatás vagy alkalmazás futtatni próbálja, a parancsot küldő szolgáltatás vagy alkalmazás hibaüzenetet kap.

További információt A TPM-parancsblokkolás szabályozása a TPM kezelése beépülő modullal című témakörben talál.

Csoportházirend használata a TPM-parancsok vezérléséhez

A TPM szolgáltatások csoportházirend beállításai a következő helyen találhatóak: Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\TPM-szolgáltatások. A következő táblázat a TPM-parancsok vezérléséhez használható házirendbeállításokat részletezi.

Beállítás neve	Leírás
A blokkolt TPM-parancsok listájának konfigurálása	Ez a házirendbeállítás lehetővé teszi a Windows által blokkolt TPM-parancsok csoportházirend-listájának a kezelését. Ha engedélyezi ezt a házirendbeállítást, a Windows blokkolja az ebben a beállításban megadott parancsok elküldését a számítógép TMP moduljának. A TPM-parancsokra parancsszámok hivatkoznak. A 129-es számú például a TPM_OwnerReadInternalPub parancs, a 170-es parancs pedig a TPM_FieldUpgrade. Ha parancsokat kíván hozzáadni a listához, engedélyezze a beállítást, aztán kattintson a Megjelenítés gombra a blokkolt parancsok listájának megnyitásához. A Tartalom megjelenítése párbeszédpanelen kattintson az Érték mezőre, majd írja be a blokkolni kívánt program számát. Ha több parancsot kíván egyszerre blokkolni, adja meg mindegyik parancs számát a lista egy külön sorában. Ha ez a beállítás le van tiltva vagy nincs konfigurálva, akkor a csoportházirend-listát nem használja a rendszer, és a Windows csak azokat a TPM-parancsokat blokkolja, amelyek az alapértelmezett vagy a helyi listákon szerepelnek.
A blokkolt TPM-parancsok alapértelmezett listájának figyelmen kívül hagyása	Ez a házirendbeállítás lehetővé teszi a blokkolt TPM-parancsok alapértelmezett listájának kényszerítését vagy figyelmen kívül hagyását. Ha engedélyezi ezt a házirendbeállítást, a Windows figyelmen kívül hagyja a blokkolt TPM-parancsok alapértelmezett listáját, és csak azokat a TPM-parancsokat blokkolja, amelyeket a csoportházirend vagy a helyi lista határoz meg. A Windows előre konfigurálta a blokkolt TPM-parancsok alapértelmezett listáját. Az alapértelmezett lista parancsait vagy nem támogatja a Trusted Computing Group, vagy olyan adatvédelmi vonatkozásaik vannak, amelyeket figyelembe kell venni, mielőtt a szervezetén belül engedélyezné ezeknek a parancsoknak a használatát a TPM modullal.
A blokkolt TPM-parancsok helyi listájának figyelmen kívül hagyása	Ez a házirendbeállítás lehetővé teszi a számítógépen a blokkolt TPM-parancsok helyi listájának kényszerítését vagy figyelmen kívül hagyását. Ha engedélyezi ezt a házirendbeállítást, a Windows figyelmen kívül hagyja a számítógép által blokkolt TPM-parancsok helyi listáját, és csak azokat a TPM-parancsokat blokkolja, amelyeket a csoportházirend vagy az alapértelmezett lista határoz meg.

Beállítás neve

Leírás

A blokkolt TPM-parancsok listájának konfigurálása

Ez a házirendbeállítás lehetővé teszi a Windows által blokkolt TPM-parancsok csoportházirend-listájának a kezelését. Ha engedélyezi ezt a házirendbeállítást, a Windows blokkolja az ebben a beállításban megadott parancsok elküldését a számítógép TMP moduljának. A TPM-parancsokra parancsszámok hivatkoznak. A 129-es számú például a TPM_OwnerReadInternalPub parancs, a 170-es parancs pedig a TPM_FieldUpgrade. Ha parancsokat kíván hozzáadni a listához, engedélyezze a beállítást, aztán kattintson a Megjelenítés gombra a blokkolt parancsok listájának megnyitásához. A Tartalom megjelenítése párbeszédpanelen kattintson az Érték mezőre, majd írja be a blokkolni kívánt program számát. Ha több parancsot kíván egyszerre blokkolni, adja meg mindegyik parancs számát a lista egy külön sorában.

Ha ez a beállítás le van tiltva vagy nincs konfigurálva, akkor a csoportházirend-listát nem használja a rendszer, és a Windows csak azokat a TPM-parancsokat blokkolja, amelyek az alapértelmezett vagy a helyi listákon szerepelnek.

A blokkolt TPM-parancsok alapértelmezett listájának figyelmen kívül hagyása

Ez a házirendbeállítás lehetővé teszi a blokkolt TPM-parancsok alapértelmezett listájának kényszerítését vagy figyelmen kívül hagyását. Ha engedélyezi ezt a házirendbeállítást, a Windows figyelmen kívül hagyja a blokkolt TPM-parancsok alapértelmezett listáját, és csak azokat a TPM-parancsokat blokkolja, amelyeket a csoportházirend vagy a helyi lista határoz meg. A Windows előre konfigurálta a blokkolt TPM-parancsok alapértelmezett listáját. Az alapértelmezett lista parancsait vagy nem támogatja a Trusted Computing Group, vagy olyan adatvédelmi vonatkozásaik vannak, amelyeket figyelembe kell venni, mielőtt a szervezetén belül engedélyezné ezeknek a parancsoknak a használatát a TPM modullal.

A blokkolt TPM-parancsok helyi listájának figyelmen kívül hagyása

Ez a házirendbeállítás lehetővé teszi a számítógépen a blokkolt TPM-parancsok helyi listájának kényszerítését vagy figyelmen kívül hagyását. Ha engedélyezi ezt a házirendbeállítást, a Windows figyelmen kívül hagyja a számítógép által blokkolt TPM-parancsok helyi listáját, és csak azokat a TPM-parancsokat blokkolja, amelyeket a csoportházirend vagy az alapértelmezett lista határoz meg.

További információkat A TPM-parancsblokkolás szabályozása csoportházirenddel című témakörben talál.

Új parancsok blokkolása

Mivel néhány hardvergyártó további parancsokat is közreadhatott, és a későbbiekben a Trusted Computing Group is dönthet úgy, hogy további parancsokat is közzétesz, a TPM kezelése konzol támogatja az új parancsok blokkolását a Művelet menü Új parancs blokkolása menüpontjával. Ha nem szeretné, hogy a TPM modul el tudjon fogadni valamely egyéb parancsot a számítógépen, kattintson az Új parancs blokkolása menüpontra, majd írja be a parancs számát.