Dopo aver assunto la proprietà del TPM (Trusted Platform Module), il proprietario del TPM può limitare l'esecuzione dei comandi TPM utilizzando Criteri di gruppo o Gestione TPM.
Informazioni sui comandi TPM
L'hardware TPM è un dispositivo hardware passivo, nel senso che non avvia o interrompe processi nel computer, ma accetta e risponde ai comandi di altre applicazioni, quali ad esempio driver di dispositivo e sistemi operativi. La versione corrente della specifica sui comandi TPM definita dal Trusted Computing Group offre un set di 120 comandi standard da utilizzare per controllare il funzionamento del TPM. Questi comandi vengono visualizzati selezionando Gestione comandi in Gestione TPM.
Per l'elenco dei comandi di Gestione TPM, vedere le specifiche TPM (Trusted Platform Module) all'indirizzo
Bloccare e consentire comandi TPM
È possibile controllare i comandi che il TPM del computer può accettare e a cui può rispondere selezionandoli in Gestione comandi e decidendo per ognuno se deve essere consentito oppure bloccato. Vi sono tre elenchi possibili di comandi bloccati, ovvero l'elenco predefinito disponibile con il sistema operativo, un elenco presente nel computer locale e gestito dagli amministratori locali e l'elenco dei comandi controllati dagli oggetti Criteri di gruppo. Se un comando TPM è incluso in uno qualsiasi di questi elenchi, viene bloccato per il TPM. Se un servizio o un'applicazione tenta di eseguire un comando bloccato, al servizio o all'applicazione che ha inviato il comando verrà restituito un errore.
Per ulteriori informazioni, vedere Controllare il blocco dei comandi TPM tramite Gestione TPM.
Utilizzare Criteri di gruppo per controllare i comandi TPM
Le impostazioni di Criteri di gruppo per i servizi TPM sono disponibili in Configurazione computer\Modelli amministrativi\Sistema\Servizi Trusted Platform Module. Nella tabella seguente sono riportate le impostazioni che è possibile utilizzare per controllare i comandi TPM.
Nome dell'impostazione | Descrizione |
---|---|
Configura l'elenco dei comandi TPM bloccati |
Questa impostazione consente di gestire l'elenco di Criteri di gruppo contenente i comandi TPM bloccati da Windows. Se la si attiva, i comandi specificati verranno bloccati da Windows e non potranno essere inviati al TPM del computer. I comandi TPM sono contrassegnati da un numero di riferimento. Il numero di comando 129 ad esempio corrisponde a TPM_OwnerReadInternalPub, mentre il numero di comando 170 corrisponde a TPM_FieldUpgrade. Per aggiungere comandi a questo elenco, attivare l'impostazione e quindi fare clic su Mostra per aprire l'elenco dei comandi bloccati. Nella finestra di dialogo Mostra contenuto fare clic nel campo Valore e digitare il numero del comando che si desidera bloccare. Per bloccare più comandi, immettere i relativi numeri ognuno in una riga diversa dell'elenco. Se questa impostazione è disattivata o non configurata, l'elenco di blocco di Criteri di gruppo non verrà utilizzato e saranno bloccati da Windows solo i comandi TPM specificati mediante l'elenco predefinito o quello locale. |
Ignora l'elenco predefinito di comandi TPM bloccati |
Questa impostazione consente di applicare o ignorare l'elenco predefinito di comandi TPM bloccati del computer. Se la si attiva, l'elenco predefinito del computer verrà ignorato da Windows e saranno bloccati solo i comandi TPM specificati mediante Criteri di gruppo o l'elenco locale. L'elenco predefinito dei comandi TPM bloccati è preconfigurato da Windows. I comandi di tale elenco sono stati dichiarati obsoleti dal Trusted Computing Group o presentano implicazioni per la privacy di cui tenere conto prima di consentirne l'utilizzo con i TPM nella propria organizzazione. |
Ignora l'elenco locale di comandi TPM bloccati |
Questa impostazione consente di applicare o ignorare l'elenco locale di comandi TPM bloccati del computer. Se la si attiva, l'elenco locale del computer verrà ignorato da Windows e saranno bloccati solo i comandi TPM specificati mediante Criteri di gruppo o l'elenco predefinito. |
Per ulteriori informazioni, vedere Controllare il blocco dei comandi TPM tramite Criteri di gruppo.
Bloccare nuovi comandi
Poiché alcuni fornitori di hardware possono rendere disponibili comandi aggiuntivi o il Trusted Computing Group può decidere di aggiungere nuovi comandi in futuro, Gestione TPM consente di bloccare i nuovi comandi mediante la voce Blocca nuovo comando del menu Azione. Se pertanto non si desidera che un comando aggiuntivo venga accettato dal TPM, scegliere Blocca nuovo comando e quindi digitare il numero appropriato.