Владелец доверенного платформенного модуля после настройки может ограничить виды команд доверенного платформенного модуля, выполняемых с помощью групповой политики или консоли управления TPM.

Общие сведения о командах доверенного платформенного модуля

Оборудование доверенного платформенного модуля представляет собой пассивное аппаратное устройство. Оно не инициирует и не прерывает процессы на компьютере. Вместо этого оно получает команды от других приложений, таких как драйверы устройств и операционные системы, и отвечает на эти команды. Текущая версия спецификации команд доверенного платформенного модуля, определенная Trusted Computing Group, содержит набор из 120 стандартных команд, используемых для управления работой доверенного платформенного модуля. Эти команды выводятся на экран, когда в консоли управления TPM выбирается Управление командами.

Справочник для списка команд консоли управления TPM см. в спецификациях доверенного платформенного модуля (TPM) (https://go.microsoft.com/fwlink/?LinkID=139770, возможно, на английском языке).

Блокирование и разблокирование команд доверенного платформенного модуля

Определить команды, которые будет принимать доверенный платформенный модуль компьютера и на которые он будет реагировать, можно, выбирая команду в окне Управление командами, а затем указывая, разрешено ли доверенному платформенному модулю получать эту команду, или ее получение должно быть заблокировано. Существует три возможных списка блокированных команд: список по умолчанию, поставляемый с операционной системой, список, поддерживаемый на локальном компьютере и управляемый локальными администраторами, и список команд, управляемый объектами групповой политики. Если команда доверенного платформенного модуля присутствует в любом из этих списков, ее выполнение модулем блокируется. Если служба или приложение пытается выполнить заблокированную команду, в службу или приложение, из которых была выдана команда, возвращается ошибка.

Дополнительные сведения см. в статье Управление блокированием команд доверенного программного модуля с помощью консоли управления TPM.

Использование групповой политики для управления командами доверенного платформенного модуля

Параметры групповой политики для служб доверенного платформенного модуля находятся в разделе Конфигурация компьютера\Административные шаблоны\Система\Службы доверенного платформенного модуля. В следующей таблице приводятся сведения о параметрах политики, которые могут использоваться для управления командами доверенного платформенного модуля.

Имя параметра Описание

Настроить список заблокированных команд доверенного платформенного модуля

Этот параметр позволяет управлять в групповой политике списком команд доверенного платформенного модуля, заблокированных Windows. Если этот параметр включен, то Windows заблокирует отправку указанных команд доверенному платформенному модулю компьютера. Для ссылки на команды доверенного платформенного модуля используется номер команды. Например, команда номер 129 - это TPM_OwnerReadInternalPub, а команда номер 170 - это TPM_FieldUpgrade. Для добавления команд в этот список включите этот параметр и выберите Показать, чтобы открыть список заблокированных команд. В диалоговом окне Вывод содержания щелкните в поле Значение и введите номер блокируемой команды. Если нужно заблокировать несколько команд, введите номер каждой команды в отдельной строке списка.

Если этот параметр отключен или не настроен, список блокирования групповой политики не используется, и Windows будет блокировать только команды доверенного платформенного модуля, заданные в списке по умолчанию или локальном списке.

Игнорировать список заблокированных по умолчанию команд доверенного платформенного модуля

Этот параметр политики позволяет принудительно применять или игнорировать список команд доверенного платформенного модуля, заблокированных по умолчанию. Если этот параметр включен, Windows игнорирует список команд доверенного платформенного модуля, заблокированных по умолчанию, и блокирует только те команды, которые указаны групповой политикой или в локальном списке. Используемый по умолчанию список заблокированных команд доверенного платформенного модуля предустановлен в Windows. Команды в списке по умолчанию либо были признаны Trusted Computing Group устаревшими, либо связаны с вопросами конфиденциальности, которые следует проанализировать, прежде чем разрешить использование этих команд с доверенными платформенными модулями в организации.

Игнорировать локальный список заблокированных команд доверенного платформенного модуля

Этот параметр политики позволяет принудительно применять или игнорировать локальный список заблокированных команд доверенного платформенного модуля. Если этот параметр включен, то Windows игнорирует локальный список заблокированных команд TPM и блокирует только те команды доверенного платформенного модуля, которые указаны групповой политикой или в списке по умолчанию.

Дополнительные сведения см. в статье Управление блокированием команд доверенного программного модуля с помощью групповой политики.

Блокирование новых команд

Некоторые поставщики оборудования могут предоставлять дополнительные команды, или Trusted Computing Group может в будущем добавить новые команды, поэтому консоль управления TPM поддерживает возможность блокировать новые команды с помощью пункта Выбор команды для блокировки в меню Действие. Если имеется дополнительная команда, которую не должен получать доверенный платформенный модуль, выберите пункт Выбор команды для блокировки, а затем введите номер команды.


Содержание