管理员可以使用组策略来阻止或允许特定的受信任的平台模块 (TPM) 命令。使用 TPM 管理无法启用策略阻止的命令。但是,使用 TPM 管理可以阻止策略允许的命令。

本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。

使用本地组策略编辑器阻止和允许 TPM 命令的步骤

  1. 依次单击“开始”“所有程序”“附件”,然后单击“运行”

  2. “打开”框中键入 gpedit.msc,然后按 Enter。

  3. 如果出现“用户帐户控制”对话框,请确认所显示的是您想要执行的操作,然后单击“”。

  4. “本地组策略编辑器”在本地计算机策略打开的情况下显示,以便进行编辑。

    注意

    域中具有相应权限的管理员可通过 Active Directory 域服务 (AD DS) 来配置要应用的组策略对象 (GPO)。

  5. 在控制台树的“计算机配置”下,展开“管理模板”,然后展开“系统”

  6. “系统”中,单击“受信任的平台模块服务”

  7. 在细节窗格中,双击“配置阻止的 TPM 命令的列表”

  8. 单击“已启用”,然后单击“显示”

  9. 对于要阻止的每个命令,请单击“添加”,输入命令编号,然后单击“确定”

    注意

    TPM 管理中当前列出了 120 个命令,按 27 种功能类别组织。有关对 TPM 管理中的命令列表的引用,请参阅“受信任的平台模块 (TPM) 规范”(https://go.microsoft.com/fwlink/?LinkID=139770)(可能为英文网页)。

  10. 对每个要阻止的命令添加编号后,请单击“确定”,然后再次单击“确定”

  11. 如果需要,可以根据默认阻止列表或本地列表启用可防止阻止命令的策略。有关这些选项中每个选项的详细信息,请阅读“本地组策略编辑器”中显示的帮助文本,以了解“忽略阻止的 TPM 命令的默认列表”策略设置和“忽略阻止的命令的本地列表”策略设置。

    注意

    本地管理员无法允许通过组策略阻止的 TPM 命令。本地管理员使用 TPM 管理阻止的命令和默认阻止列表中的命令也被阻止,除非组策略的默认设置发生更改。

  12. 关闭“本地组策略编辑器”。

目录