Når du er blitt eier av TPM (Trusted Platform Module), kan du som TPM-eier bruke gruppepolicy eller TPM-behandling til å begrense hvilke TPM-kommandoer som kan utføres.
Forstå TPM-kommandoer
TPM-maskinvaren er en passiv maskinvareenhet. Den verken starter eller avbryter prosesser på datamaskinen. Den godtar i stedet og svarer på kommandoer fra andre programmer, for eksempel enhetsdrivere og operativsystemer. Gjeldende versjon av TPM-kommandospesifikasjonene, som er definert av Trusted Computing Group, inneholder et sett med 120 standardkommandoer for bruk av TPM. Disse kommandoene vises når du velger Kommandobehandling i TPM-behandling.
Du finner en referanse til listen over kommandoer i TPM-behandling på websiden for TPM-spesifikasjoner (Trusted Platform Module) (
Blokkere og tillate TPM-kommandoer
Du kan bestemme hvilke kommandoer TPM på datamaskinen din skal kunne godta og svare på. Det gjør du ved å velge kommandoen i Kommandobehandling og angi om TPM skal kunne tillate kommandoen, eller om den skal blokkeres slik at den ikke kan tillates av TPM. Det finnes tre mulige lister over blokkerte kommandoer: standardlisten som følger med operativsystemet, en liste som vedlikeholdes på den lokale datamaskinen og administreres av lokale administratorer, og listen over kommandoer som styres av gruppepolicyobjekter. Hvis en TPM-kommando finnes i en av listene, blokkeres den mot TPM. Hvis en tjeneste eller et program prøver å kjøre en blokkert kommando, returneres en feilmelding til tjenesten eller programmet som sendte kommandoen.
Se Kontrollere TPM-kommandoblokkering ved å bruke TPM-behandling hvis du vil ha mer informasjon.
Bruke gruppepolicy til å kontrollere TPM-kommandoer
Gruppepolicyinnstillingene for TPM-tjenester finnes i Datamaskinkonfigurasjon\Administrative maler\System\Trusted Platform Module Services. Tabellen nedenfor gir en oversikt over policyinnstillingene som kan brukes til å kontrollere TPM-kommandoer.
Innstillingsnavn | Beskrivelse |
---|---|
Konfigurer listen over blokkerte TPM-kommandoer |
Med denne policyinnstillingen kan du administrere gruppepolicylisten over TPM-kommandoer som kan blokkeres av Windows. Hvis du aktiverer policyinnstillingen, blokkerer Windows de angitte kommandoene mot å bli sendt til TPM på datamaskinen. TPM-kommandoer refereres til med et kommandonummer. Kommando nummer 129 er for eksempel TPM_OwnerReadInternalPub, og kommando nummer 170 er TPM_FieldUpgrade. Hvis du vil legge til kommandoer i listen, aktiverer du innstillingen og klikker Vis for å åpne listen over blokkerte kommandoer. I dialogboksen Vis innhold klikker du i Verdi-feltet og skriver inn kommandonummeret du vil blokkere. Hvis du vil blokkere flere kommandoer, skriver du inn hvert kommandonummer på egen linje i listen. Hvis denne innstillingen er deaktivert eller ikke konfigurert, brukes ikke blokkeringslisten for gruppepolicy, og bare de TPM-kommandoene som angis via standard eller lokale lister, blokkeres av Windows. |
Ignorer standardlisten over blokkerte TPM-kommandoer |
Med denne policyinnstillingen kan du håndheve eller ignorere datamaskinens standardliste over blokkerte TPM-kommandoer. Hvis du aktiverer policyinnstillingen, ignorerer Windows datamaskinens standardliste over blokkerte TPM-kommandoer og blokkerer bare de TPM-kommandoene som er angitt av gruppepolicy eller den lokale listen. Standardlisten over blokkerte TPM-kommandoer er forhåndskonfigurert i Windows. Kommandoene på standardlisten er enten avskrevet av Trusted Computing Group eller har personvernfølger som bør vurderes før kommandoene tillates brukt med TPMer i organisasjonen. |
Ignorer den lokale listen over blokkerte TPM-kommandoer |
Med denne policyinnstillingen kan du håndheve eller ignorere datamaskinens lokale liste over blokkerte TPM-kommandoer. Hvis du aktiverer policyinnstillingen, ignorerer Windows datamaskinens lokale liste over blokkerte TPM-kommandoer og blokkerer bare de TPM-kommandoene som er angitt av gruppepolicy eller standardlisten. |
Se Kontrollere TPM-kommandoblokkering ved å bruke gruppepolicy hvis du vil ha mer informasjon.
Blokkere nye kommandoer
Ettersom enkelte maskinvareleverandører kan ha lagt til tilleggskommandoer eller Trusted Computing Group kan legge til nye kommandoer i fremtiden, støtter TPM-behandling muligheten til å blokkere nye kommandoer via Blokker ny kommando på Handling-menyen. Hvis det finnes en tilleggskommando som du ikke vil at TPM skal kunne godta, klikker du Blokker ny kommando og skriver inn nummeret på den nye kommandoen.