Администраторы могут блокировать или разблокировать определенные команды доверенного платформенного модуля с помощью групповой политики. Команды, блокированные с помощью политики, невозможно включить с помощью консоли управления TPM, но команды, разрешенные политикой, можно заблокировать с помощью консоли управления TPM.

Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Блокировка или разблокирование команд доверенного платформенного модуля с помощью редактора локальных групповых политик

  1. В меню Пуск последовательно выберите пункты Все программы, Стандартные и Выполнить.

  2. В поле Открыть введите команду gpedit.msc и нажмите клавишу ВВОД.

  3. Если появится диалоговое окно Управление учетными записями пользователей, убедитесь, что в окне указано нужное действие, и выберите ответ Да.

  4. Открывается «Редактор локальной групповой политики» с открытой для редактирования политикой локального компьютера.

    Примечание

    Администраторы с соответствующими правами в домене могут изменять объект групповой политики, применяемый с помощью доменных служб Active Directory (AD DS).

  5. В узле Конфигурация компьютера дерева консоли разверните узел Административные шаблоны, а затем узел Система.

  6. В папке Система выберите Службы доверенного платформенного модуля.

  7. В области сведений дважды щелкните элемент Настройка списка блокированных команд TPM.

  8. Выберите параметр Включено и нажмите кнопку Показать.

  9. Для каждой команды, которую нужно заблокировать, нажмите кнопку Добавить, введите номер команды, а затем нажмите кнопку ОК.

    Примечание

    В настоящее время в консоли управления TPM перечислено 120 команд, разбитых на 27 функциональных категорий. Справочник для списка команд консоли управления TPM см. в спецификациях доверенного платформенного модуля (TPM) (https://go.microsoft.com/fwlink/?LinkID=139770, возможно, на английском языке).

  10. Указав номера для всех блокируемых команд, нажмите кнопку ОК, а затем нажмите кнопку ОК еще раз.

  11. При необходимости можно включить политики, препятствующие блокированию команд в соответствии со списком заблокированных команд по умолчанию или локальным списком. Дополнительные сведения о каждой из этих возможностей см. в тексте справки, который отображается в редакторе локальных групповых политик для параметров Игнорировать список заблокированных команд TPM по умолчанию и Игнорировать локальный список блокированных команд.

    Примечание

    Локальные администраторы не могут разрешить команды TPM, заблокированные с помощью групповой политики. Команды, заблокированные локальными администраторами с помощью консоли управления TPM, и команды из списка команд, блокируемых по умолчанию, также будут заблокированы, пока параметры групповой политики не будут изменены относительно параметров по умолчанию.

  12. Закройте «Редактор локальной групповой политики».

Содержание