获取受信任的平台模块 (TPM) 的所有权后,TPM 所有者即可使用组策略或 TPM 管理来限制可以运行哪些 TPM 命令。
了解 TPM 命令
TPM 硬件是被动硬件设备。它不会启动或中断计算机上的进程。相反,它会接受来自其他应用程序(如设备驱动程序或操作系统)的命令并对其做出响应。由受信任计算组定义的当前版本的 TPM 命令规范提供一个包含 120 个标准命令的命令集,这些命令用于指示 TPM 的操作。在“TPM 管理”中选择“命令管理”时,将显示这些命令。
有关对 TPM 管理中的命令列表的引用,请参阅“受信任的平台模块 (TPM) 规范”(
阻止和允许 TPM 命令
可以控制计算机上的 TPM 可以接受哪些命令并对它们做出响应,方法是:选择“命令管理”中的命令,然后决定允许 TPM 接受该命令,还是阻止 TPM 接受该命令。有三个可能的阻止命令列表:随操作系统提供的默认列表、在本地计算机上维护且由本地管理员管理的列表,以及由组策略对象控制的命令列表。如果任一列表中存在一个 TPM 命令,则将阻止 TPM 使用该命令。如果服务或应用程序尝试运行一个已阻止的命令,则会向发送该命令的服务或应用程序返回错误。
有关详细信息,请参阅使用 TPM 管理控制 TPM 命令阻止。
使用组策略控制 TPM 命令
TPM 服务的组策略设置位于“计算机配置\管理模板\系统\受信任的平台模块服务”中。下表对可用于控制 TPM 命令的策略设置进行了详细说明。
| 设置名称 | 描述 |
|---|---|
配置已阻止的 TPM 命令列表 |
借助此策略设置,可以管理 Windows 阻止的 TPM 命令的组策略列表。如果启用此策略设置,则 Windows 将阻止将此设置中指定的命令发送到计算机上的 TPM。TPM 命令通过命令编号引用。例如,命令编号 129 是 TPM_OwnerReadInternalPub,命令编号 170 是 TPM_FieldUpgrade。若要将命令添加到此列表中,请启用该设置,然后单击“显示”打开阻止命令的列表。在“显示内容”对话框中,单击“值”字段并键入要阻止的命令编号。如果要阻止多个命令,请分别在列表的每一行输入一个命令编号。 如果已禁用或未配置此设置,则不会使用组策略阻止列表,而只有那些通过默认列表或本地列表指定的 TPM 命令将被 Windows 阻止。 |
忽略已阻止的 TPM 命令默认列表 |
借助此策略设置,可以强制或忽略计算机的已阻止 TPM 命令默认列表。如果启用此策略设置,则 Windows 将忽略计算机的已阻止 TPM 命令默认列表,而且将仅阻止那些由组策略或本地列表指定的 TPM 命令。默认的阻止 TPM 命令列表由 Windows 预配置。默认列表中的命令已由受信任的计算组弃用,或者具有在允许这些命令在组织的 TPM 中使用之前应考虑的隐私含义。 |
忽略被阻止的 TPM 命令的本地列表 |
借助此策略设置,您可以强制或忽略计算机的本地阻止 TPM 命令列表。如果启用此策略设置,则 Windows 将忽略计算机的本地阻止 TPM 命令列表,而且将仅阻止由组策略或默认列表指定的那些 TPM 命令。 |
有关详细信息,请参阅使用组策略控制 TPM 命令阻止。
阻止新命令
由于某些硬件供应商可能提供了其他命令,或者受信任的计算组可以决定在将来添加新命令,因此 TPM 管理支持通过“操作”菜单上的“阻止新命令”项阻止新命令的功能。如果有不希望 TPM 接受的其他命令,请单击“阻止新命令”,然后键入命令编号。