TPM(신뢰할 수 있는 플랫폼 모듈)을 소유하게 되면 TPM 소유자가 그룹 정책이나 TPM 관리를 사용하여 실행할 수 있는 TPM 명령을 제한할 수 있습니다.

TPM 명령 이해

TPM 하드웨어는 수동 하드웨어 장치입니다. 즉, 컴퓨터의 프로세스를 초기화하거나 중단하지 않습니다. 대신 장치 드라이버나 운영 체제 등의 다른 응용 프로그램의 명령을 수신하고 이에 응답합니다. TCG(Trusted Computing Group)가 정의한 최신 버전의 TPM 명령 사양에서는 TPM 작동을 지시하는 데 사용할 수 있는 120개의 표준 명령 모음을 제공합니다. 이러한 명령은 TPM 관리에서 명령 관리를 선택하면 표시됩니다.

TPM 관리에 표시되는 명령 목록을 보려면 TPM(신뢰할 수 있는 플랫폼 모듈) 사양(https://go.microsoft.com/fwlink/?LinkID=139770(페이지는 영문일 수 있음))을 참조하십시오.

TPM 명령 차단 및 허용

명령 관리에서 명령을 선택한 다음 TPM이 명령을 수락하도록 허용할지 아니면 수락할 수 없도록 차단할지를 지정하여 컴퓨터의 TPM이 수락하여 응답할 수 있는 명령을 제어할 수 있습니다. 차단된 명령 목록은 운영 체제에서 제공하는 기본 목록, 로컬 컴퓨터에서 유지 관리되고 로컬 관리자가 관리하는 목록, 그룹 정책 개체를 통해 제어되는 명령 목록의 세 가지가 있습니다. TPM 명령이 이 세 목록 중 어느 하나에라도 있으면 TPM은 해당 명령을 차단합니다. 서비스나 응용 프로그램에서 차단된 명령을 실행하려고 하면 명령을 보낸 서비스나 응용 프로그램에 오류가 반환됩니다.

자세한 내용은 TPM 관리를 사용하여 TPM 명령 차단 제어를 참조하십시오.

그룹 정책을 사용하여 TPM 명령 제어

TPM 서비스에 대한 그룹 정책 설정은 컴퓨터 구성\관리 템플릿\시스템\신뢰할 수 있는 플랫폼 모듈 서비스에 있습니다. 다음 표에서는 TPM 명령을 제어하는 데 사용할 수 있는 정책 설정에 대해 자세히 설명합니다.

설정 이름 설명

차단된 TPM 명령 목록 구성

이 정책 설정을 사용하면 Windows에서 그룹 정책으로 차단되는 TPM 명령 목록을 관리할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 설정에 지정된 명령이 컴퓨터의 TPM으로 전송될 수 없도록 차단됩니다. TPM 명령은 명령 번호로 참조됩니다. 예를 들어 명령 번호 129TPM_OwnerReadInternalPub이고 170TPM_FieldUpgrade입니다. 명령을 이 목록에 추가하려면 설정을 활성화한 다음 표시를 클릭하여 차단된 명령 목록을 엽니다. 내용 표시 대화 상자에서 필드를 클릭하고 차단할 명령 번호를 입력합니다. 명령을 여러 개 차단하려면 목록에서 한 줄에 하나씩 원하는 명령 번호를 입력합니다.

이 설정을 사용하지 않도록 설정하거나 구성하지 않은 경우 그룹 정책 차단 목록이 사용되지 않으며 기본 목록이나 로컬 목록에 지정된 TPM 명령만 차단됩니다.

차단된 TPM 명령의 기본 목록 무시

이 정책 설정을 사용하면 컴퓨터에 있는 차단된 TPM 명령의 기본 목록을 적용하거나 무시할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 컴퓨터에 있는 차단된 TPM 명령의 기본 목록은 무시되고 그룹 정책이나 로컬 목록에 지정된 TPM 명령만 차단됩니다. 차단된 TPM 명령의 기본 목록은 Windows에 미리 구성되어 있습니다. 기본 목록에 있는 명령은 TCG에서 권장하지 않거나 조직의 TPM에 사용하도록 허용하기 전에 개인 정보 관련 사항을 고려해야 하는 것들입니다.

차단된 TPM 명령의 로컬 목록 무시

이 정책 설정을 사용하면 컴퓨터에 있는 차단된 TPM 명령의 로컬 목록을 적용하거나 무시할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 컴퓨터에 있는 차단된 TPM 명령의 로컬 목록은 무시되고 그룹 정책이나 기본 목록에 지정된 TPM 명령만 차단됩니다.

자세한 내용은 그룹 정책을 사용하여 TPM 명령 차단 제어를 참조하십시오.

새 명령 차단

일부 하드웨어 공급업체에서 추가 명령을 제공하거나 TCG에서 새 명령을 향후에 추가하기로 결정하는 경우 TPM 관리에서 작업 메뉴의 새 명령 차단 항목을 통해 차단할 수 있습니다. TPM에서 수락하지 않을 명령을 추가하려면 새 명령 차단을 클릭한 다음 명령 번호를 입력합니다.