Depois de assumir propriedade do TPM (Trusted Platform Module), o proprietário do TPM pode limitar os comandos de TPM que podem ser executados utilizando a Política de Grupo ou a Gestão de TPM.

Noções sobre comandos de TPM

O hardware de TPM é um dispositivo de hardware passivo. Não inicia ou interrompe processos no computador. Em vez disso, aceita e responde a comandos de outras aplicações, tais como, controladores de dispositivos e sistemas operativos. A versão actual da especificação de comandos do TPM definida pelo Trusted Computing Group fornece um conjunto de 120 comandos padrão para utilização nas operações do TPM. Estes comandos são apresentados quando selecciona Gestão de Comandos na Gestão de TPM.

Para obter uma referência à lista de comandos na Gestão de TPM, consulte as Especificações do TPM (Trusted Platform Module) (https://go.microsoft.com/fwlink/?LinkID=139770 (pode estar em inglês)).

Bloquear e permitir comandos de TPM

Pode controlar quais os comandos que o TPM no computador pode aceitar e responder seleccionando o comando na Gestão de Comandos e decidindo se o comando deverá ser aceite ou bloqueado pelo TPM. Existem três listas possíveis de comandos bloqueados: a lista predefinida fornecida com o sistema operativo, a lista mantida no computador local e gerida por administradores locais e a lista de comandos controlados por objectos de Política de Grupo. Se um comando de TPM existir numa das listas, será bloqueado a partir do TPM. Se um serviço ou aplicação tentar executar um comando bloqueado, será devolvido um erro ao serviço ou aplicação que enviou o comando.

Para mais informações, consulte Controlar o Bloqueio de Comandos de TPM Utilizando a Gestão de TPM.

Utilizar a Política de Grupo para controlar comandos de TPM

As definições da Política de Grupo para serviços de TPM estão localizadas em Configuração do Computador\Modelos Administrativos\Sistema\Serviços Trusted Platform Module. A tabela que se segue apresenta detalhes das definições da política que podem ser utilizadas para controlar os comandos de TPM.

Nome da definição Descrição

Configurar a lista de comandos de TPM bloqueados

Esta definição de política permite gerir a lista da Política de Grupo de comandos de TPM bloqueados pelo Windows. Se activar esta definição de política, o Windows bloqueará o envio dos comandos que especificar nesta definição para o TPM no computador. Os comandos de TPM são referenciados por um número de comando. Por exemplo, o número de comando 129 corresponde a TPM_OwnerReadInternalPub e o número de comando 170 corresponde a TPM_FieldUpgrade. Para adicionar comandos a esta lista, active a definição e clique em Mostrar para abrir a lista de comandos bloqueados. Na caixa de diálogo Mostrar Conteúdo, clique no campo Valor e escreva o número de comando que pretende bloquear. Se pretender bloquear vários comandos, introduza cada número de comando numa linha separada da lista.

Se esta definição for desactivada ou não for configurada, a lista de bloqueios da Política de Grupo não é utilizada e apenas os comandos de TPM especificados nas listas predefinidas e locais serão bloqueados pelo Windows.

Ignorar a lista predefinida de comandos de TPM bloqueados

Esta definição de política permite impor ou ignorar a lista predefinida do computador de comandos de TPM bloqueados. Se activar esta definição de política, o Windows ignorará a lista predefinida do computador de comandos de TPM bloqueados e apenas bloqueará os comandos de TPM especificados pela Política de Grupo ou pela lista local. A lista predefinida de comandos de TPM bloqueados é pré-configurada pelo Windows. Os comandos da lista predefinida foram despromovidos pelo Trusted Computing Group ou têm implicações ao nível da privacidade que deverão ser consideradas antes de permitir a utilização destes comandos com os TPMs na organização.

Ignorar a lista local de comandos de TPM bloqueados

Esta definição de política permite impor ou ignorar a lista local do computador de comandos de TPM bloqueados. Se activar esta definição de política, o Windows ignorará a lista local do computador de comandos de TPM bloqueados e apenas bloqueará os comandos de TPM especificados pela Política de Grupo ou pela lista predefinida.

Para mais informações, consulte Controlar o Bloqueio de Comandos de TPM Utilizando a Política de Grupo.

Bloquear novos comandos

Uma vez que alguns fornecedores de hardware poderão ter fornecido comandos adicionais ou o Trusted Computing Group poderá decidir adicionar novos comandos no futuro, a Gestão de TPM suporta a capacidade de bloquear novos comandos através do item Bloquear Novo Comando no menu Acção. Se existir um comando adicional que não pretenda que o TPM aceite, clique em Bloquear Novo Comando e escreva o número do comando.