取得信賴平台模組 (TPM) 的擁有權後,TPM 擁有者就可以限制使用群組原則或 TPM 管理所能執行的 TPM 命令。
了解 TPM 命令
TPM 硬體是被動式的硬體裝置,它不會初始化或中斷電腦上的程序,而是會接受和回應其他應用程式的命令,例如裝置驅動程式與作業系統。Trusted Computing Group 定義的 TPM 命令規格目前版本,提供一組 120 個標準命令,用於指示 TPM 的操作。當您選取 TPM 管理中的 [命令管理] 時,會顯示這些命令。
如需 TPM 管理中命令清單的參考資料,請參閱信賴平台模組 (TPM) 規格 (
封鎖和允許 TPM 命令
您可以控制電腦上的 TPM 可以接受和回應哪些命令,方法是選取 [命令管理] 中的命令,然後決定是否允許 TPM 接受該命令,或是封鎖 TPM 接受它。有三種可能的封鎖命令清單:作業系統提供的預設清單、本機電腦上維護的清單與本機系統管理員管理的清單,以及群組原則物件控制的命令清單。如果在任何清單中有 TPM 命令存在,將會從 TPM 封鎖它。如果服務或應用程式嘗試執行封鎖的命令,會將錯誤傳回給傳送命令的服務或應用程式。
如需相關資訊,請參閱使用信賴平台模組 (TPM) 管理控制 TPM 命令封鎖。
使用群組原則控制 TPM 命令
TPM 服務的群組原則設定位於 [電腦設定\系統管理範本\系統\信賴平台模組服務]。下表詳細說明可用於控制 TPM 命令的原則設定。
| 設定名稱 | 描述 |
|---|---|
設定封鎖 TPM 命令的清單 |
此原則設定讓您可以管理被 Windows 封鎖的信賴平台模組 (TPM) 命令的群組原則清單。如果您啟用此原則設定,Windows 就會封鎖在此設定中所指定的命令,使其不致被傳送到電腦上的 TPM。TPM 命令是以命令號碼來參照。例如,命令號碼 129 為 TPM_OwnerReadInternalPub,命令號碼 170 為 TPM_FieldUpgrade。若要將命令新增至清單,請啟用設定,然後按一下 [顯示] 開啟封鎖命令的清單。在 [顯示內容] 對話方塊中,在 [值] 欄位中按一下,然後輸入您要封鎖的命令號碼。如果您要封鎖多個命令,請在清單的不同行輸入每個命令號碼。 如果停用或未設定此設定,就不會使用群組原則封鎖清單,而且 Windows 只會封鎖那些透過預設或本機清單指定的 TPM 命令。 |
忽略封鎖 TPM 命令的預設清單 |
此原則設定可讓您強制執行或忽略電腦上封鎖 TPM 命令的預設清單。如果您啟用此原則設定,Windows 將會忽略電腦上封鎖 TPM 命令的預設清單,而且只會封鎖群組原則或本機清單指定的 TPM 命令。封鎖的 TPM 命令預設清單是由 Windows 預先設定。預設清單上的命令已被 Trusted Computing Group 取代或是具有隱私權含義,允許組織中的 TPM 使用這些命令之前,應該先考慮這些含義。 |
忽略封鎖 TPM 命令的本機清單 |
此原則設定可讓您強制執行或忽略電腦上封鎖 TPM 命令的本機清單。如果您啟用此原則設定,Windows 將會忽略電腦上封鎖 TPM 命令的本機清單,而且只會封鎖群組原則或預設清單指定的 TPM 命令。 |
如需相關資訊,請參閱使用群組原則控制 TPM 命令封鎖。
封鎖新命令
因為某些硬體廠商可能已經提供額外的命令,也可能 Trusted Computing Group 決定在未來新增命令,所以 TPM 管理透過 [執行] 功能表上的 [封鎖新命令] 項目,支援封鎖新命令的功能。如果您不希望 TPM 接受某一個額外命令,按一下 [封鎖新命令],然後輸入命令的號碼。