トラステッド プラットフォーム モジュール (TPM) の所有権を取得した後、TPM 所有者はグループ ポリシーまたは TPM 管理を使用して、実行可能な TPM コマンドを制限できます。
TPM コマンドとは
TPM ハードウェアは、パッシブなハードウェア デバイスであり、それ自体がコンピューター上でプロセスを開始したり中断したりすることはありませんが、デバイス ドライバーやオペレーティング システムなど、他のアプリケーションからのコマンドを受け付け、それに対して応答します。Trusted Computing Group (TCG) によって定義された最新の TPM コマンド仕様には、TPM 操作の指示で使用する 120 の標準コマンドがあり、TPM 管理で [コマンド管理] を選択すると表示されます。
TPM 管理のコマンドの一覧については、トラステッド プラットフォーム モジュール (TPM) の仕様に関するページ (英語の可能性あり) (
TPM コマンドをブロックおよび許可する
コンピューター上の TPM で受け付けて応答できるコマンドは、[コマンド管理] でコマンドを選択し、そのコマンドを TPM で受け付けるか、受け付けないようブロックするかを指定することで制御できます。ブロックされるコマンドの一覧には、オペレーティング システムで指定されている既定の一覧、ローカル管理者がローカル コンピューター上で管理する一覧、およびグループ ポリシー オブジェクトによって制御される一覧の 3 つがあります。TPM コマンドがいずれかの一覧に含まれていると、そのコマンドは TPM でブロックされます。サービスやアプリケーションでブロック対象のコマンドを実行しようとすると、コマンドを送信したサービスやアプリケーションにはエラーが返されます。
詳細については、「TPM 管理を使用して TPM コマンドのブロックを制御する」を参照してください。
グループ ポリシーを使用して TPM コマンドを制御する
TPM サービスのグループ ポリシー設定は、コンピューターの構成\管理用テンプレート\システム\トラステッド プラットフォーム モジュール サービスにあります。次の表では、TPM コマンドの制御に使用できるポリシー設定について詳しく説明します。
設定名 | 説明 |
---|---|
ブロックされる TPM コマンドの一覧を構成する |
このポリシー設定では、Windows がブロックする TPM コマンドのグループ ポリシー一覧を管理できます。このポリシー設定を有効にすると、この設定で指定されたコマンドがコンピューター上の TPM に送信されなくなります。TPM コマンドは、コマンド番号で参照されます。たとえば、コマンド番号 129 は TPM_OwnerReadInternalPub、コマンド番号 170 は TPM_FieldUpgrade です。この一覧にコマンドを追加するには、設定を有効にし、[表示] をクリックしてブロックされるコマンドの一覧を開きます。次に、[内容の表示] ダイアログ ボックスで、[値] フィールドをクリックし、ブロックするコマンド番号を入力します。複数のコマンドをブロックする場合、コマンド番号ごとに 1 行ずつ一覧に入力します。 この設定が無効になっているか、構成されていない場合、グループ ポリシーのブロック一覧は使用されず、既定の一覧またはローカルの一覧で指定されている TPM コマンドのみがブロックされます。 |
ブロックされる TPM コマンドの既定の一覧を無視する |
このポリシー設定では、コンピューターの既定のブロックされる TPM コマンドの一覧を適用または無視できます。このポリシー設定を有効にすると、コンピューターの既定のブロックされる TPM コマンドの一覧は無視され、グループ ポリシーまたはローカルの一覧で指定されている TPM コマンドのみがブロックされます。既定のブロックされる TPM コマンドの一覧は、Windows で事前に構成されているものです。既定の一覧にあるコマンドは、TCG が非推奨としているか、またはプライバシーに影響を及ぼすものであり、組織内でこれらのコマンドを TPM で使用できるようにする際は検討が必要です。 |
ブロックされる TPM コマンドのローカルの一覧を無視する |
このポリシー設定では、コンピューターのローカルのブロックされる TPM コマンドの一覧を適用または無視できます。このポリシー設定を有効にすると、コンピューターのローカルのブロックされる TPM コマンドの一覧は無視され、グループ ポリシーまたは既定の一覧で指定されている TPM コマンドのみがブロックされます。 |
詳細については、「グループ ポリシーを使用して TPM コマンドのブロックを制御する」を参照してください。
新しいコマンドをブロックする
ハードウェア ベンダーにより追加コマンドが提供されたり、TCG が将来新しいコマンドの追加を決定したりする可能性があるため、TPM 管理では、[操作] メニューの [新しいコマンドをブロック] 項目を使って新しいコマンドをブロックする機能をサポートしています。TPM で受け付けないようにする追加コマンドがある場合、[新しいコマンドをブロック] をクリックしてそのコマンドの番号を入力します。