När en ägare är angiven för TPM:en (Trusted Platform Module) kan ägaren begränsa vilka TPM-kommandon som är tillgängliga genom att använda grupprincip eller TPM-hantering.

Så här fungerar TPM-kommandon

TPM-maskinvaran är en passiv maskinvaruenhet. Den varken initierar eller avbryter processer på datorn. I stället accepterar och svarar den på kommandon från andra program t.ex. enhetsdrivrutiner och operativsystem. I den aktuella versionen av TPM-kommandospecifikationen som har definierats av Trusted Computing Group finns en uppsättning med 120 standardkommandon som kan användas för att utföra åtgärder i TPM. De här kommandona visas när du väljer Kommandohantering i TPM-hantering.

En referens till listan över kommandon i TPM-hantering finns i Trusted Platform Module (TPM)-specifikationerna (https://go.microsoft.com/fwlink/?LinkID=139770 (sidan kan vara på engelska)).

Blockera och tillåta TPM-kommandon

Du kan bestämma vilka kommandon som TPM på din dator ska acceptera och svara på genom att välja kommandot i Kommandohantering och sedan bestämma om det kommandot ska kunna accepteras av TPM eller inte kunna accepteras av TPM. Det finns tre möjliga listor med blockerade kommandon: standardlistan som medföljer operativsystemet, en lista på den lokala datorn som hanteras av lokala administratörer och listan över kommandon som styrs av grupprincipobjekt. Om det finns ett TPM-kommando i någon av listorna, blockeras det från TPM. Om en tjänst eller ett program försöker köra ett blockerat kommando, returneras ett fel till den tjänsten eller det program som skickade kommandot.

Mer information finns i Kontrollera blockering av TPM-kommando med TPM-hantering.

Använda grupprincip för att kontrollera TPM-kommandon

Grupprincipinställningarna för TPM-tjänster finns i Datorkonfiguration\Administrativa mallar\System\TPM-tjänster. I nedanstående tabell beskrivs de principinställningar som kan användas för att kontrollera TPM-kommandon.

Inställningsnamn Beskrivning

Konfigurera listan över blockerade TPM-kommandon

Med den här principinställningen kan du hantera grupprinciplistan över TPM-kommandon som blockeras av Windows. Om du aktiverar den här principinställningen blockerar Windows de kommandon som du anger i den här inställningen, från att skickas till TPM på datorn. Du hänvisar till TPM-kommandon med ett kommandonummer. Kommandonummer 129 t.ex. är TPM_OwnerReadInternalPub och kommandonummer 170 är TPM_FieldUpgrade. När du vill lägga till kommandon till den här listan aktiverar du inställningen och klickar sedan på Visa för att öppna listan över blockerade kommandon. Klicka i dialogrutan Visa innehåll i fältet Värde och skriv det kommandonummer som du vill blockera. Om du vill blockera flera kommandon anger du varje kommandonummer på en separat rad i listan.

Om den här inställningen är inaktiverad eller inte har konfigurerats, används inte blockeringslistan för grupprincip och det är bara de TPM-kommandon som anges via standardlistorna eller de lokala listorna som blockeras av Windows.

Ignorera standardlistan över blockerade TPM-kommandon

Med den här principinställningen kan du tvinga eller ignorera datorns standardlista över blockerade TPM-kommandon. Om du aktiverar den här principinställningen kommer Windows att ignorera datorns standardlista över blockerade TPM-kommandon och bara blockera de TPM-kommandon som har angetts av grupprincipen eller den lokala listan. Standardlistan över blockerade TPM-kommandon förkonfigureras i Windows. Antingen stöds inte kommandon i standardlistan längre av Trusted Computing Group eller så finns det sekretessaspekter som man bör ta hänsyn till innan dessa kommandon får användas med TPM:er i din organisation.

Ignorera den lokala listan över blockerade TPM-kommandon

Med den här principinställningen kan du tvinga eller ignorera datorns lokala lista över blockerade TPM-kommandon. Om du aktiverar den här principinställningen kommer Windows att ignorera datorns lokala lista över blockerade TPM-kommandon och bara blockera de TPM-kommandon som har angetts av grupprincipen eller standardlistan.

Mer information finns i Kontrollera blockering av TPM-kommando med grupprincip.

Blockera nya kommandon

Eftersom en del maskinvaruleverantörer kan ha lagt till ytterligare kommandon eller Trusted Computing Group bestämt att lägga till nya kommandon i framtiden, stöder TPM-hantering möjligheten att blockera nya kommandon via alternativet Blockera nytt kommandoÅtgärd-menyn. Om det finns ytterligare ett kommando som du inte vill att TPM ska acceptera klickar du på Blockera nytt kommando och skriver sedan numret på kommandot.