Als het eigendom van de TPM (Trusted Platform Module) eenmaal is ingesteld, kan de eigenaar van de TPM met Groepsbeleid of TPM-beheer beperkingen opgeven voor de TPM-opdrachten die kunnen worden uitgevoerd.

Informatie over TPM-opdrachten

De TPM-hardware is passieve hardware. Hierdoor worden geen processen op de computer geïnitialiseerd of onderbroken. In plaats hiervan accepteert de hardware opdrachten van andere toepassingen, zoals apparaatstuurprogramma's en besturingssystemen, en reageert de hardware op dergelijke opdrachten. In de huidige versie van de TPM-opdrachtspecificatie die is gedefinieerd door de Trusted Computing Group, bevindt zich een verzameling van 120 standaardopdrachten die de werking van de TPM beheren. U kunt deze opdrachten weergeven door Opdrachtbeheer te kiezen in TPM-beheer.

Raadpleeg de specificaties voor de Trusted Platform Module (TPM) op https://go.microsoft.com/fwlink/?LinkID=139770 (de pagina is mogelijk in het Engels) voor een verwijzing naar de lijst met opdrachten in TPM-beheer.

TPM-opdrachten blokkeren en toestaan

U kunt beheren welke opdrachten door de TPM worden geaccepteerd door hierop te reageren, door de opdracht te selecteren in Opdrachtbeheer en vervolgens te bepalen of de opdracht door de TPM mag worden geaccepteerd, of hierdoor wordt geblokkeerd. Er zijn drie mogelijke lijsten met geblokkeerde opdrachten: de standaardlijst die wordt geleverd bij het besturingssysteem, een lijst die op de lokale computer wordt bijgehouden en wordt beheerd door lokale beheerders en de lijst met opdrachten die wordt beheerd met groepsbeleidsobjecten. Als een TPM-opdracht op een van de lijsten voorkomt, wordt deze door de TPM geblokkeerd. Als door een service of toepassing wordt geprobeerd om een geblokkeerde opdracht uit te voeren, wordt er een fout geretourneerd aan de service of toepassing die de opdracht heeft verzonden.

Zie Het blokkeren van TPM-opdrachten beheren met Groepsbeleid voor meer informatie.

Groepsbeleid gebruiken voor het beheer van TPM-opdrachten

De groepsbeleidsinstellingen voor TPM-services bevinden zich in Computerconfiguratie\Beheersjablonen\Systeem\TPM-services. In de volgende tabel vindt u gedetailleerde informatie over de beleidsinstellingen voor het beheer van TPM-opdrachten.

Naam van instelling Beschrijving

Lijst met geblokkeerde TPM-opdrachten configureren

Met deze beleidsinstelling kunt u de lijst van Groepsbeleid met TPM-opdrachten die worden geblokkeerd door Windows beheren. Als u deze beleidsinstelling inschakelt, worden de opdrachten die u in deze instelling opgeeft geblokkeerd en niet naar de TPM op de computer gezonden. Naar TPM-opdrachten wordt met een opdrachtnummer verwezen. Opdrachtnummer 129 is bijvoorbeeld TPM_OwnerReadInternalPub, en opdrachtnummer 170 is TPM_FieldUpgrade. Als u opdrachten wilt toevoegen aan de lijst, schakelt u de instelling in en klikt u op Weergeven om de lijst met geblokkeerde opdrachten te openen. Klik in het dialoogvenster Inhoud weergeven op het veld Waarde en typ het nummer van de opdracht die u wilt blokkeren. Als u meerdere opdrachten wilt blokkeren, typt u de opdrachtnummers op een afzonderlijke regel in de lijst.

Als deze instelling is uitgeschakeld of niet geconfigureerd, wordt de lijst met geblokkeerde opdrachten van Groepsbeleid niet gebruikt en worden alleen de TPM-opdrachten die zijn opgegeven in de standaardlijst of de lokale lijst geblokkeerd.

Standaardlijst met geblokkeerde TPM-opdrachten negeren

Met deze beleidsinstelling kunt u de standaardlijst met geblokkeerde TPM-opdrachten op de computer afdwingen of negeren. Als u deze beleidsinstelling inschakelt, wordt de standaardlijst met geblokkeerde TPM-opdrachten genegeerd en worden alleen de TPM-opdrachten in de lijst van Groepsbeleid of de lokale lijst geblokkeerd. De standaardlijst met geblokkeerde TPM-opdrachten is vooraf geconfigureerd. De opdrachten in de standaardlijst zijn als verouderd aangeduid door de Trusted Computing Group of hebben gevolgen voor de privacy die moeten worden overwogen voordat deze opdrachten worden toegestaan voor TPM's binnen uw organisatie.

Lokale lijst met geblokkeerde TPM-opdrachten negeren

Met deze beleidsinstelling kunt u de lokale lijst met geblokkeerde TPM-opdrachten op de computer afdwingen of negeren. Als u deze beleidsinstelling inschakelt, wordt de lokale lijst met geblokkeerde TPM-opdrachten genegeerd en worden alleen de TPM-opdrachten in de lijst van Groepsbeleid of de standaardlijst geblokkeerd.

Zie Het blokkeren van TPM-opdrachten beheren met Groepsbeleid voor meer informatie.

Nieuwe opdrachten blokkeren

Omdat bepaalde hardwarefabrikanten mogelijk aanvullende opdrachten hebben toegevoegd, of Trusted Computing Group in de toekomst kan besluiten tot het toevoegen van nieuwe opdrachten, biedt TPM-beheer ondersteuning voor het blokkeren van nieuwe opdrachten via de optie Nieuwe opdracht blokkeren in het menu Actie. Als u wilt voorkomen dat een aanvullende opdracht door de TPM wordt geaccepteerd, klikt u op Nieuwe opdracht blokkeren en typt u het nummer van de opdracht.