コマンド管理

トラステッドプラットフォームモジュール (TPM) の所有権を取得した後、TPM 所有者はグループポリシーまたは TPM 管理を使用して、実行可能な TPM コマンドを制限できます。

TPM コマンドとは

TPM ハードウェアは、パッシブなハードウェアデバイスであり、それ自体がコンピューター上でプロセスを開始したり中断したりすることはありませんが、デバイスドライバーやオペレーティングシステムなど、他のアプリケーションからのコマンドを受け付け、それに対して応答します。Trusted Computing Group (TCG) によって定義された最新の TPM コマンド仕様には、TPM 操作の指示で使用する 120 の標準コマンドがあり、TPM 管理で [コマンド管理] を選択すると表示されます。

TPM 管理のコマンドの一覧については、トラステッドプラットフォームモジュール (TPM) の仕様に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=139770) を参照してください。

TPM コマンドをブロックおよび許可する

コンピューター上の TPM で受け付けて応答できるコマンドは、[コマンド管理] でコマンドを選択し、そのコマンドを TPM で受け付けるか、受け付けないようブロックするかを指定することで制御できます。ブロックされるコマンドの一覧には、オペレーティングシステムで指定されている既定の一覧、ローカル管理者がローカルコンピューター上で管理する一覧、およびグループポリシーオブジェクトによって制御される一覧の 3 つがあります。TPM コマンドがいずれかの一覧に含まれていると、そのコマンドは TPM でブロックされます。サービスやアプリケーションでブロック対象のコマンドを実行しようとすると、コマンドを送信したサービスやアプリケーションにはエラーが返されます。

詳細については、「TPM 管理を使用して TPM コマンドのブロックを制御する」を参照してください。

グループポリシーを使用して TPM コマンドを制御する

TPM サービスのグループポリシー設定は、コンピューターの構成\管理用テンプレート\システム\トラステッドプラットフォームモジュールサービスにあります。次の表では、TPM コマンドの制御に使用できるポリシー設定について詳しく説明します。

設定名	説明
ブロックされる TPM コマンドの一覧を構成する	このポリシー設定では、Windows がブロックする TPM コマンドのグループポリシー一覧を管理できます。このポリシー設定を有効にすると、この設定で指定されたコマンドがコンピューター上の TPM に送信されなくなります。TPM コマンドは、コマンド番号で参照されます。たとえば、コマンド番号 129 は TPM_OwnerReadInternalPub、コマンド番号 170 は TPM_FieldUpgrade です。この一覧にコマンドを追加するには、設定を有効にし、[表示] をクリックしてブロックされるコマンドの一覧を開きます。次に、[内容の表示] ダイアログボックスで、[値] フィールドをクリックし、ブロックするコマンド番号を入力します。複数のコマンドをブロックする場合、コマンド番号ごとに 1 行ずつ一覧に入力します。この設定が無効になっているか、構成されていない場合、グループポリシーのブロック一覧は使用されず、既定の一覧またはローカルの一覧で指定されている TPM コマンドのみがブロックされます。
ブロックされる TPM コマンドの既定の一覧を無視する	このポリシー設定では、コンピューターの既定のブロックされる TPM コマンドの一覧を適用または無視できます。このポリシー設定を有効にすると、コンピューターの既定のブロックされる TPM コマンドの一覧は無視され、グループポリシーまたはローカルの一覧で指定されている TPM コマンドのみがブロックされます。既定のブロックされる TPM コマンドの一覧は、Windows で事前に構成されているものです。既定の一覧にあるコマンドは、TCG が非推奨としているか、またはプライバシーに影響を及ぼすものであり、組織内でこれらのコマンドを TPM で使用できるようにする際は検討が必要です。
ブロックされる TPM コマンドのローカルの一覧を無視する	このポリシー設定では、コンピューターのローカルのブロックされる TPM コマンドの一覧を適用または無視できます。このポリシー設定を有効にすると、コンピューターのローカルのブロックされる TPM コマンドの一覧は無視され、グループポリシーまたは既定の一覧で指定されている TPM コマンドのみがブロックされます。

設定名

説明

ブロックされる TPM コマンドの一覧を構成する

このポリシー設定では、Windows がブロックする TPM コマンドのグループポリシー一覧を管理できます。このポリシー設定を有効にすると、この設定で指定されたコマンドがコンピューター上の TPM に送信されなくなります。TPM コマンドは、コマンド番号で参照されます。たとえば、コマンド番号 129 は TPM_OwnerReadInternalPub、コマンド番号 170 は TPM_FieldUpgrade です。この一覧にコマンドを追加するには、設定を有効にし、[表示] をクリックしてブロックされるコマンドの一覧を開きます。次に、[内容の表示] ダイアログボックスで、[値] フィールドをクリックし、ブロックするコマンド番号を入力します。複数のコマンドをブロックする場合、コマンド番号ごとに 1 行ずつ一覧に入力します。

この設定が無効になっているか、構成されていない場合、グループポリシーのブロック一覧は使用されず、既定の一覧またはローカルの一覧で指定されている TPM コマンドのみがブロックされます。

ブロックされる TPM コマンドの既定の一覧を無視する

このポリシー設定では、コンピューターの既定のブロックされる TPM コマンドの一覧を適用または無視できます。このポリシー設定を有効にすると、コンピューターの既定のブロックされる TPM コマンドの一覧は無視され、グループポリシーまたはローカルの一覧で指定されている TPM コマンドのみがブロックされます。既定のブロックされる TPM コマンドの一覧は、Windows で事前に構成されているものです。既定の一覧にあるコマンドは、TCG が非推奨としているか、またはプライバシーに影響を及ぼすものであり、組織内でこれらのコマンドを TPM で使用できるようにする際は検討が必要です。

ブロックされる TPM コマンドのローカルの一覧を無視する

このポリシー設定では、コンピューターのローカルのブロックされる TPM コマンドの一覧を適用または無視できます。このポリシー設定を有効にすると、コンピューターのローカルのブロックされる TPM コマンドの一覧は無視され、グループポリシーまたは既定の一覧で指定されている TPM コマンドのみがブロックされます。

詳細については、「グループポリシーを使用して TPM コマンドのブロックを制御する」を参照してください。

新しいコマンドをブロックする

ハードウェアベンダーにより追加コマンドが提供されたり、TCG が将来新しいコマンドの追加を決定したりする可能性があるため、TPM 管理では、[操作] メニューの [新しいコマンドをブロック] 項目を使って新しいコマンドをブロックする機能をサポートしています。TPM で受け付けないようにする追加コマンドがある場合、[新しいコマンドをブロック] をクリックしてそのコマンドの番号を入力します。

コマンド管理

TPM コマンドとは

TPM コマンドをブロックおよび許可する

グループ ポリシーを使用して TPM コマンドを制御する

新しいコマンドをブロックする

目次

グループポリシーを使用して TPM コマンドを制御する