Condividi tramite


Provider di servizi di configurazione dei criteri - ADMX_TPM

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

BlockedCommandsList_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name

Questa impostazione di criterio consente di gestire l'elenco di Criteri di gruppo dei comandi TPM (Trusted Platform Module) bloccati da Windows.

  • Se si abilita questa impostazione di criterio, Windows impedirà l'invio dei comandi specificati al TPM nel computer. Ai comandi TPM viene fatto riferimento da un numero di comando. Ad esempio, il numero di comando 129 è TPM_OwnerReadInternalPub e il numero di comando 170 è TPM_FieldUpgrade. Per trovare il numero di comando associato a ogni comando TPM con TPM 1.2, eseguire "tpm.msc" e passare alla sezione "Gestione comandi".

  • Se disabiliti o non configuri questa impostazione di criterio, Windows potrebbe bloccare solo i comandi TPM specificati tramite gli elenchi predefiniti o locali. L'elenco predefinito dei comandi TPM bloccati è pre-configurato da Windows. È possibile visualizzare l'elenco predefinito eseguendo "tpm.msc", passando alla sezione "Gestione comandi" e rendendo visibile la colonna "On Default Block List". L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo "tpm.msc" o tramite script sull'interfaccia Win32_Tpm. Vedere le impostazioni dei criteri correlate per applicare o ignorare gli elenchi predefiniti e locali dei comandi TPM bloccati.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome BlockedCommandsList_Name
Nome descrittivo Configurare l'elenco dei comandi TPM bloccati
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands
Nome del valore del registro Abilitato
Nome file ADMX TPM.admx

ClearTPMIfNotReady_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name

Questa impostazione di criterio configura il sistema per richiedere all'utente di cancellare il TPM se viene rilevato che il TPM si trova in uno stato diverso da Pronto. Questo criterio avrà effetto solo se il TPM del sistema si trova in uno stato diverso da Pronto, incluso se il TPM è "Pronto, con funzionalità ridotte". La richiesta di cancellazione del TPM verrà avviata dopo il riavvio successivo, all'accesso utente solo se l'utente connesso fa parte del gruppo Administrators per il sistema. La richiesta può essere ignorata, ma verrà nuovamente visualizzata dopo ogni riavvio e accesso fino a quando il criterio non viene disabilitato o finché il TPM non è in uno stato Pronto.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome ClearTPMIfNotReady_Name
Nome descrittivo Configurare il sistema per cancellare il TPM se non è pronto.
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\TPM
Nome del valore del registro ClearTPMIfNotReadyGP
Nome file ADMX TPM.admx

IgnoreDefaultList_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name

Questa impostazione di criterio consente di applicare o ignorare l'elenco predefinito del computer di comandi TPM (Trusted Platform Module) bloccati.

  • Se si abilita questa impostazione di criterio, Windows ignorerà l'elenco predefinito dei comandi TPM bloccati del computer e bloccherà solo i comandi TPM specificati da Criteri di gruppo o dall'elenco locale.

L'elenco predefinito dei comandi TPM bloccati è pre-configurato da Windows. È possibile visualizzare l'elenco predefinito eseguendo "tpm.msc", passando alla sezione "Gestione comandi" e rendendo visibile la colonna "On Default Block List". L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo "tpm.msc" o tramite script sull'interfaccia Win32_Tpm. Vedere l'impostazione dei criteri correlata per configurare l'elenco di Criteri di gruppo dei comandi TPM bloccati.

  • Se si disabilita o non si configura questa impostazione di criterio, Windows bloccherà i comandi TPM nell'elenco predefinito, oltre ai comandi nei Criteri di gruppo e negli elenchi locali dei comandi TPM bloccati.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome IgnoreDefaultList_Name
Nome descrittivo Ignorare l'elenco predefinito di comandi TPM bloccati
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\TPM\BlockedCommands
Nome del valore del registro IgnoreDefaultList
Nome file ADMX TPM.admx

IgnoreLocalList_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name

Questa impostazione di criterio consente di applicare o ignorare l'elenco locale del computer di comandi TPM (Trusted Platform Module) bloccati.

  • Se si abilita questa impostazione di criterio, Windows ignorerà l'elenco locale dei comandi TPM bloccati del computer e bloccherà solo i comandi TPM specificati da Criteri di gruppo o dall'elenco predefinito.

L'elenco locale dei comandi TPM bloccati viene configurato all'esterno di Criteri di gruppo eseguendo "tpm.msc" o tramite script sull'interfaccia Win32_Tpm. L'elenco predefinito dei comandi TPM bloccati è pre-configurato da Windows. Vedere l'impostazione dei criteri correlata per configurare l'elenco di Criteri di gruppo dei comandi TPM bloccati.

  • Se si disabilita o non si configura questa impostazione di criterio, Windows bloccherà i comandi TPM presenti nell'elenco locale, oltre ai comandi nei Criteri di gruppo e negli elenchi predefiniti dei comandi TPM bloccati.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome IgnoreLocalList_Name
Nome descrittivo Ignorare l'elenco locale dei comandi TPM bloccati
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\TPM\BlockedCommands
Nome del valore del registro IgnoreLocalList
Nome file ADMX TPM.admx

OptIntoDSHA_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name

Questo criterio di gruppo abilita la creazione di report di attestazione dell'integrità dei dispositivi (DHA-report) nei dispositivi supportati. Consente ai dispositivi supportati di inviare informazioni correlate all'attestazione dell'integrità del dispositivo (log di avvio del dispositivo, valori PCR, certificato TPM e così via) al servizio di attestazione dell'integrità del dispositivo (DHA-Service) ogni volta che viene avviato un dispositivo. Il servizio di attestazione dell'integrità dei dispositivi convalida lo stato di sicurezza e l'integrità dei dispositivi e rende i risultati accessibili agli amministratori aziendali tramite un portale di report basato sul cloud. Questo criterio è indipendente dai report DHA avviati da soluzioni di gestibilità dei dispositivi (ad esempio MDM o SCCM) e non interferiranno con i relativi flussi di lavoro.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome OptIntoDSHA_Name
Nome descrittivo Abilitare il monitoraggio e la creazione di report per l'attestazione dell'integrità dei dispositivi
Posizione Configurazione computer
Percorso Servizio di attestazione integrità dispositivi di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\DeviceHealthAttestationService
Nome del valore del registro EnableDeviceHealthAttestationService
Nome file ADMX TPM.admx

OSManagedAuth_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name

Questa impostazione di criterio consente di configurare la quantità di informazioni sull'autorizzazione del proprietario del TPM archiviate nel Registro di sistema del computer locale. A seconda della quantità di informazioni sull'autorizzazione del proprietario di TPM archiviate in locale, il sistema operativo e le applicazioni basate su TPM possono eseguire determinate azioni TPM che richiedono l'autorizzazione del proprietario del TPM senza richiedere all'utente di immettere la password del proprietario del TPM.

È possibile scegliere di avere l'archivio del sistema operativo con il valore completo di autorizzazione del proprietario del TPM, il BLOB di delega amministrativa TPM più il BLOB di delega utente TPM o nessuno.

Se si abilita questa impostazione di criterio, Windows archivierà l'autorizzazione del proprietario del TPM nel Registro di sistema del computer locale in base all'impostazione di autenticazione TPM gestita dal sistema operativo scelta.

Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo "Completa" per archiviare l'autorizzazione completa del proprietario del TPM, il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione consente l'uso del TPM senza richiedere l'archiviazione remota o esterna del valore di autorizzazione del proprietario del TPM. Questa impostazione è appropriata per scenari che non dipendono dalla prevenzione della reimpostazione della logica anti-hammering TPM o dalla modifica del valore di autorizzazione del proprietario del TPM. Alcune applicazioni basate su TPM potrebbero richiedere la modifica di questa impostazione prima di poter usare le funzionalità che dipendono dalla logica di anti-hammering TPM.

Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo di "Delegato" per archiviare solo il BLOB di delega amministrativa TPM e il BLOB di delega utente TPM nel Registro di sistema locale. Questa impostazione è appropriata per l'uso con applicazioni basate su TPM che dipendono dalla logica anti-hammering TPM.

Scegliere l'impostazione di autenticazione TPM gestita dal sistema operativo di "Nessuno" per la compatibilità con i sistemi operativi e le applicazioni precedenti o per l'uso con scenari che richiedono l'autorizzazione del proprietario del TPM non archiviati in locale. L'uso di questa impostazione potrebbe causare problemi con alcune applicazioni basate su TPM.

Nota

Se l'impostazione di autenticazione TPM gestita dal sistema operativo viene modificata da "Full" a "Delegated", il valore completo dell'autorizzazione del proprietario TPM verrà rigenerato e le copie del valore di autorizzazione del proprietario TPM originale non saranno valide.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome OSManagedAuth_Name
Nome descrittivo Configurare il livello di informazioni sull'autorizzazione del proprietario di TPM disponibili per il sistema operativo
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\TPM
Nome file ADMX TPM.admx

StandardUserAuthorizationFailureDuration_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name

Questa impostazione di criterio consente di gestire la durata in minuti per il conteggio degli errori di autorizzazione utente standard per i comandi TPM (Trusted Platform Module) che richiedono l'autorizzazione. Se il numero di comandi TPM con un errore di autorizzazione entro la durata è uguale a una soglia, a un utente standard viene impedito di inviare comandi che richiedono l'autorizzazione al TPM.

Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti a questa durata vengono ignorati.

Per ogni utente standard si applicano due soglie. Il superamento di una delle soglie impedirà all'utente standard di inviare un comando al TPM che richiede l'autorizzazione.

Il valore Standard User Lockout Threshold Individual è il numero massimo di errori di autorizzazione che ogni utente standard può avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Il valore Soglia totale blocco utente standard è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard potrebbero avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti, inclusi gli amministratori e le funzionalità di Windows come Crittografia unità BitLocker. Il numero di errori di autorizzazione consentiti da un TPM e la durata del blocco variano a seconda del produttore del TPM. Alcuni TPM possono entrare in modalità di blocco per periodi di tempo successivi più lunghi, con un minor numero di errori di autorizzazione a seconda degli errori passati. Alcuni TPM potrebbero richiedere un riavvio del sistema per uscire dalla modalità di blocco. Altri TPM possono richiedere che il sistema sia attivo in modo da trascorrere un numero sufficiente di cicli di clock prima che il TPM esci dalla modalità di blocco.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando TPM Management Console (tpm.msc). Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati; consentendo agli utenti standard di usare il TPM normalmente di nuovo immediatamente.

Se questo valore non è configurato, viene usato un valore predefinito di 480 minuti (8 ore).

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome StandardUserAuthorizationFailureDuration_Name
Nome descrittivo Durata blocco utente standard
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Tpm
Nome del valore del registro StandardUserAuthorizationFailureDuration
Nome file ADMX TPM.admx

StandardUserAuthorizationFailureIndividualThreshold_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name

Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per ogni utente standard per il modulo TPM (Trusted Platform Module). Se il numero di errori di autorizzazione per l'utente entro la durata di Durata blocco utente standard è uguale a questo valore, all'utente standard viene impedito di inviare comandi al modulo TPM (Trusted Platform Module) che richiedono l'autorizzazione.

Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.

Per ogni utente standard si applicano due soglie. Il superamento di una delle soglie impedirà all'utente standard di inviare un comando al TPM che richiede l'autorizzazione.

Questo valore è il numero massimo di errori di autorizzazione che ogni utente standard potrebbe avere prima che all'utente non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Il valore Soglia totale blocco utente standard è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard potrebbero avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti, inclusi gli amministratori e le funzionalità di Windows come Crittografia unità BitLocker. Il numero di errori di autorizzazione consentiti da un TPM e la durata del blocco variano a seconda del produttore del TPM. Alcuni TPM possono entrare in modalità di blocco per periodi di tempo successivi più lunghi, con un minor numero di errori di autorizzazione a seconda degli errori passati. Alcuni TPM potrebbero richiedere un riavvio del sistema per uscire dalla modalità di blocco. Altri TPM possono richiedere che il sistema sia attivo in modo da trascorrere un numero sufficiente di cicli di clock prima che il TPM esci dalla modalità di blocco.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando TPM Management Console (tpm.msc). Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati; consentendo agli utenti standard di usare il TPM normalmente di nuovo immediatamente.

Se questo valore non è configurato, viene usato il valore predefinito 4.

Il valore zero indica che il sistema operativo non consentirà agli utenti standard di inviare comandi al TPM che potrebbero causare un errore di autorizzazione.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome StandardUserAuthorizationFailureIndividualThreshold_Name
Nome descrittivo Soglia di blocco individuale utente standard
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Tpm
Nome del valore del registro StandardUserAuthorizationFailureIndividualThreshold
Nome file ADMX TPM.admx

StandardUserAuthorizationFailureTotalThreshold_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name

Questa impostazione di criterio consente di gestire il numero massimo di errori di autorizzazione per tutti gli utenti standard per il modulo TPM (Trusted Platform Module). Se il numero totale di errori di autorizzazione per tutti gli utenti standard entro la durata di Durata blocco utente standard è uguale a questo valore, a tutti gli utenti standard viene impedito di inviare comandi al modulo TPM (Trusted Platform Module) che richiedono l'autorizzazione.

Questa impostazione consente agli amministratori di impedire all'hardware TPM di accedere a una modalità di blocco perché rallenta la velocità con cui gli utenti standard possono inviare comandi che richiedono l'autorizzazione al TPM.

Un errore di autorizzazione si verifica ogni volta che un utente standard invia un comando al TPM e riceve una risposta di errore che indica che si è verificato un errore di autorizzazione. Gli errori di autorizzazione precedenti alla durata vengono ignorati.

Per ogni utente standard si applicano due soglie. Il superamento di una delle soglie impedirà all'utente standard di inviare un comando al TPM che richiede l'autorizzazione.

Il valore Blocco singolo utente standard è il numero massimo di errori di autorizzazione che ogni utente standard potrebbe avere prima che l'utente non sia autorizzato a inviare comandi che richiedono l'autorizzazione al TPM.

Questo valore è il numero totale massimo di errori di autorizzazione che tutti gli utenti standard potrebbero avere prima che a tutti gli utenti standard non sia consentito inviare comandi che richiedono l'autorizzazione al TPM.

Il TPM è progettato per proteggersi dagli attacchi di individuazione password immettendo una modalità di blocco hardware quando riceve troppi comandi con un valore di autorizzazione errato. Quando il TPM entra in modalità di blocco, è globale per tutti gli utenti, inclusi gli amministratori e le funzionalità di Windows come Crittografia unità BitLocker. Il numero di errori di autorizzazione consentiti da un TPM e la durata del blocco variano a seconda del produttore del TPM. Alcuni TPM possono entrare in modalità di blocco per periodi di tempo successivi più lunghi, con un minor numero di errori di autorizzazione a seconda degli errori passati. Alcuni TPM potrebbero richiedere un riavvio del sistema per uscire dalla modalità di blocco. Altri TPM possono richiedere che il sistema sia attivo in modo da trascorrere un numero sufficiente di cicli di clock prima che il TPM esci dalla modalità di blocco.

Un amministratore con la password del proprietario del TPM può reimpostare completamente la logica di blocco hardware del TPM usando TPM Management Console (tpm.msc). Ogni volta che un amministratore reimposta la logica di blocco hardware del TPM, tutti gli errori di autorizzazione TPM utente standard precedenti vengono ignorati; consentendo agli utenti standard di usare il TPM normalmente di nuovo immediatamente.

Se questo valore non è configurato, viene usato il valore predefinito 9.

Il valore zero indica che il sistema operativo non consentirà agli utenti standard di inviare comandi al TPM che potrebbero causare un errore di autorizzazione.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome StandardUserAuthorizationFailureTotalThreshold_Name
Nome descrittivo Soglia di blocco totale utente standard
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Tpm
Nome del valore del registro StandardUserAuthorizationFailureTotalThreshold
Nome file ADMX TPM.admx

UseLegacyDAP_Name

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name

Questa impostazione di criterio configura il TPM per l'uso dei parametri di prevenzione degli attacchi del dizionario (soglia di blocco e tempo di ripristino) per i valori usati per Windows 10 versione 1607 e successive. L'impostazione di questo criterio avrà effetto solo se a) il TPM è stato originariamente preparato usando una versione di Windows dopo Windows 10 versione 1607 e b) il sistema ha un TPM 2.0. Si noti che l'abilitazione di questo criterio avrà effetto solo dopo l'esecuzione dell'attività di manutenzione TPM , che in genere si verifica dopo un riavvio del sistema. Dopo che questo criterio è stato abilitato in un sistema ed è diventato effettivo (dopo il riavvio del sistema), la disabilitazione non avrà alcun impatto e il TPM del sistema rimarrà configurato usando i parametri di prevenzione degli attacchi del dizionario legacy, indipendentemente dal valore di questo criterio di gruppo. L'unico modo per rendere effettiva l'impostazione disabilitata di questo criterio in un sistema in cui è stata abilitata una volta è a) disabilitarla da Criteri di gruppo e b)cancellare il TPM nel sistema.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome UseLegacyDAP_Name
Nome descrittivo Configurare il sistema per l'uso dell'impostazione dei parametri di prevenzione degli attacchi del dizionario legacy per TPM 2.0.
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\TPM
Nome del valore del registro UseLegacyDictionaryAttackParameters
Nome file ADMX TPM.admx

Provider del servizio di configurazione dei criteri