Quand a propriedade do TPM (Trusted Platform Module) é atribuída, o proprietário do TPM pode limitar quais comandos do TPM podem ser executados usando a Diretiva de Grupo ou o Gerenciamento do TPM.

Noções básicas sobre os comandos do TPM

O hardware do TPM é um dispositivo de hardware passivo. Ele não inicializa nem interrompe processos no computador. Em vez disso, ele aceita e responde a comandos de outros aplicativos, como drivers de dispositivo e sistemas operacionais. A versão atual da especificação de comando do TPM definida pelo Trusted Computing Group fornece um conjunto de 120 comandos padrão para serem utilizados como orientação da operação do TPM. Esses comandos são exibidos quando você seleciona Gerenciamento de Comando no Gerenciamento do TPM.

Para obter uma referência à lista de comandos no Gerenciamento do TPM, consulte as Especificações do TPM (https://go.microsoft.com/fwlink/?LinkID=139770 [a página pode estar em inglês]).

Bloqueando e permitindo comandos do TPM

Você pode controlar quais comandos o TPM do seu computador pode aceitar e responder, selecionando o comando em Gerenciamento de Comandos e decidir se o comando pode ser aceito ou bloqueado pelo TPM. Existem três listas possíveis de comandos bloqueados: a lista padrão fornecida com o sistema operacional, uma lista mantida no computador local e gerenciada por administradores locais e a lista de comandos controlada pelos objetos Diretivas de Grupo. Se um comando de TPM existir em qualquer uma das listas, ele será bloqueado no TPM. Se um serviço ou aplicativo tentar executar um comando bloqueado, o serviço ou aplicativo que enviou o comando receberá um erro.

Para obter mais informações, consulte Controlar o Bloqueio de Comando do TPM usando o Gerenciamento do TPM.

Usando Diretivas de Grupo para controlar comandos do TPM

As configurações das Diretivas de Grupo para serviços de TPM estão localizadas em Configuração do Computador\Modelos Administrativos\Sistema\Serviços do Trusted Platform Module. A tabela a seguir detalha as configurações de diretiva que podem ser usadas para controlar os comandos do TPM.

Nome da configuração Descrição

Configurar a lista de comandos bloqueados do TPM

Essa configuração de diretiva permite gerenciar a lista de Diretivas de Grupo dos comandos do TPM bloqueados pelo Windows. Se você habilitar essa configuração de diretiva, o Windows bloqueará os comandos especificados nessa configuração para que não sejam enviados ao TPM no computador. A referência aos comandos do TPM é feita por um número de comando. Por exemplo, o número de comando 129 é TPM_OwnerReadInternalPub, e o número de comando 170 é TPM_FieldUpgrade. Para adicionar comandos à lista, ative a configuração e clique em Mostrar para abrir a lista de comandos bloqueados. Na caixa de diálogo Mostrar Conteúdo, clique no campo Valor e digite o número do comando que quer bloquear. Se quiser bloquear vários comandos, digite cada número de comando em uma linha separada da lista.

Se não houver esta configuração ou se ela estiver desativada, a lista de bloqueio de Diretivas de Grupo não será usada e apenas os comandos do TPM especificados pelas listas padrão ou locais serão bloqueados pelo Windows.

Ignorar a lista padrão de comandos bloqueados do TPM

Essa configuração de diretiva permite impor ou ignorar a lista padrão do computador de comandos bloqueados do TPM. Se você habilitar essa configuração de diretiva, o Windows irá ignorar a lista padrão do computador de comandos do TPM bloqueados e bloqueará apenas os comandos especificados nas Diretivas de Grupo ou na lista local. A lista padrão de comandos do TPM bloqueados é pré-configurada pelo Windows. Os comandos na lista padrão foram desaprovados pelo Trusted Computing Group ou têm implicações de privacidade que devem ser consideradas antes de permitir que esses comandos sejam usados com os TPMs na sua empresa.

Ignorar a lista local de comandos bloqueados do TPM

Essa configuração de diretiva permite impor ou ignorar a lista local do computador de comandos bloqueados do TPM. Se você habilitar essa configuração de diretiva, o Windows irá ignorar a lista local do computador de comandos do TPM bloqueados e bloqueará apenas os comandos especificados nas Diretivas de Grupo ou na lista padrão.

Para obter mais informações, consulte Controlar o Bloqueio de Comando do TPM usando as Diretivas de Grupo.

Bloqueando novos comandos

Como alguns fornecedores de hardware podem ter fornecido comandos adicionais ou o Trusted Computing Group poder vir a adicionar novos comandos futuramente, o Gerenciamento do TPM suporta a habilidade de bloquear novos comandos pelo item Bloquear Novo Comando no menu Ação. Se houver um comando adicional que você não queira que o seu TPM aceite, clique em Bloquear Novo Comando e digite o número do comando.