TPM-Gruppenrichtlinieneinstellungen

In diesem Artikel werden die TPM-Dienste (Trusted Platform Module) beschrieben, die mithilfe von Gruppenrichtlinieneinstellungen zentral gesteuert werden können. Die Gruppenrichtlinieneinstellungen für TPM-Dienste befinden sich unter Computerkonfiguration>Administrative Vorlagen>System>Trusted Platform Module Services.

Konfigurieren der Liste der blockierten TPM-Befehle

Mit dieser Richtlinieneinstellung können Sie die Gruppenrichtlinienliste der TPM-Befehle (Trusted Platform Module) verwalten, die von Windows blockiert wurden.

Wenn Sie diese Richtlinieneinstellung aktivieren, blockiert Windows, dass die angegebenen Befehle an das TPM auf dem Computer gesendet werden. AUF TPM-Befehle wird durch eine Befehlsnummer verwiesen. Die Befehlsnummer 129 ist TPM_OwnerReadInternalPubbeispielsweise , und die Befehlsnummer 170 ist TPM_FieldUpgrade.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können nur die TPM-Befehle, die über die Standard- oder lokalen Listen angegeben werden, von Windows blockiert werden. Die Standardliste der blockierten TPM-Befehle ist von Windows vorkonfiguriert. Sie können die Standardliste anzeigen, indem Sie ausführen tpm.msc, zum Abschnitt "Befehlsverwaltung" navigieren und die Spalte "On Default Block List" sichtbar machen. Die lokale Liste der blockierten TPM-Befehle wird außerhalb der Gruppenrichtlinie konfiguriert, indem oder mithilfe von Skripts für die Win32_Tpm-Schnittstelle ausgeführt tpm.msc wird.

Konfigurieren Sie das System so, dass das TPM gelöscht wird, wenn es sich nicht in einem bereit-Zustand befindet.

Diese Richtlinieneinstellung konfiguriert das System so, dass der Benutzer aufgefordert wird, das TPM zu löschen, wenn erkannt wird, dass sich das TPM in einem anderen Zustand als Bereit befindet. Diese Richtlinie wird nur wirksam, wenn sich das TPM des Systems in einem anderen Zustand als Bereit befindet. Dies gilt auch, wenn das TPM "Bereit, mit eingeschränkter Funktionalität" lautet. Die Aufforderung zum Löschen des TPM beginnt nach dem nächsten Neustart, wenn sich der Benutzer nur dann anmeldet, wenn der angemeldete Benutzer Teil der Gruppe "Administratoren" für das System ist. Die Eingabeaufforderung kann geschlossen werden, wird aber nach jedem Neustart und jeder Anmeldung wieder angezeigt, bis die Richtlinie deaktiviert ist oder sich das TPM im Zustand Bereit befindet.

Ignorieren der Standardliste blockierter TPM-Befehle

Mit dieser Richtlinieneinstellung können Sie die lokale Liste der blockierten TPM-Befehle (Trusted Platform Module) des Computers erzwingen oder ignorieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, ignoriert Windows die lokale Liste der blockierten TPM-Befehle des Computers und blockiert nur die tpm-Befehle, die von der Gruppenrichtlinie oder der Standardliste angegeben werden.

Die lokale Liste der blockierten TPM-Befehle wird außerhalb der Gruppenrichtlinie konfiguriert, indem oder über Skripts für die Win32_Tpm Schnittstelle ausgeführt tpm.msc wird. Die Standardliste der blockierten TPM-Befehle ist von Windows vorkonfiguriert. Informationen zum Konfigurieren der Gruppenrichtlinienliste blockierter TPM-Befehle finden Sie in der zugehörigen Richtlinieneinstellung.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, blockiert Windows die TPM-Befehle in der lokalen Liste, zusätzlich zu den Befehlen in der Gruppenrichtlinie und Standardlisten blockierter TPM-Befehle.

Ignorieren der lokalen Liste blockierter TPM-Befehle

Diese Richtlinieneinstellung konfiguriert, wie viele der TPM-Besitzerautorisierungsinformationen in der Registrierung des lokalen Computers gespeichert werden. Abhängig von der Menge der lokal gespeicherten TPM-Besitzerautorisierungsinformationen können das Betriebssystem und TPM-basierte Anwendungen bestimmte TPM-Aktionen ausführen, die eine TPM-Besitzerautorisierung erfordern, ohne dass der Benutzer das TPM-Besitzerkennwort eingeben muss.

Sie können festlegen, dass das Betriebssystem entweder den vollständigen TPM-Besitzerautorisierungswert, das TPM-Administratordelegierungsblob plus das TPM-Benutzerdelegierungsblob oder keine speichern soll.

Wenn Sie diese Richtlinieneinstellung aktivieren, speichert Windows die TPM-Besitzerautorisierung in der Registrierung des lokalen Computers gemäß der vom Betriebssystem verwalteten TPM-Authentifizierungseinstellung.

Wählen Sie die Vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Vollständig" aus, um die vollständige TPM-Besitzerautorisierung, das TPM-Administratordelegierungsblob und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung zu speichern. Diese Einstellung ermöglicht die Verwendung des TPM, ohne dass der Autorisierungswert des TPM-Besitzers remote oder extern gespeichert werden muss. Diese Einstellung eignet sich für Szenarien, die nicht davon abhängen, dass die TPM-Antihämmerlogik zurückgesetzt oder der TPM-Besitzerautorisierungswert geändert wird. Einige TPM-basierte Anwendungen erfordern möglicherweise, dass diese Einstellung geändert wird, bevor Features verwendet werden können, die von der TPM-Antihämmerlogik abhängig sind.

Wählen Sie die Vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Delegiert" aus, um nur das Blob für die TPM-Administratordelegierung und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung zu speichern. Diese Einstellung eignet sich für die Verwendung mit TPM-basierten Anwendungen, die von der TPM-Anti-Hammering-Logik abhängen.

Wählen Sie die Einstellung "Keine" für die vom Betriebssystem verwaltete TPM-Authentifizierung aus, um die Kompatibilität mit früheren Betriebssystemen und Anwendungen zu gewährleisten oder um szenarien zu verwenden, bei denen die TPM-Besitzerautorisierung nicht lokal gespeichert werden muss. Die Verwendung dieser Einstellung kann probleme mit einigen TPM-basierten Anwendungen verursachen.

Hinweis

Wenn die Einstellung für die vom Betriebssystem verwaltete TPM-Authentifizierung von "Vollständig" in "Delegiert" geändert wird, wird der autorisierungswert des vollständigen TPM-Besitzers neu generiert, und alle Kopien des ursprünglichen TPM-Besitzerautorisierungswerts werden ungültig.

Konfigurieren der Ebene der TPM-Besitzerautorisierungsinformationen, die für das Betriebssystem verfügbar sind

Wichtig

Ab Windows 10 Version 1703 ist der Standardwert 5. Dieser Wert wird während der Bereitstellung implementiert, sodass eine andere Windows-Komponente ihn entweder löschen oder den Besitz übernehmen kann, je nach Systemkonfiguration. Für TPM 2.0 bedeutet der Wert 5, dass die Sperrautorisierung beibehalten wird. Für TPM 1.2 bedeutet dies, dass die Vollständige TPM-Besitzerautorisierung verworfen und nur die delegierte Autorisierung beibehalten wird.

Diese Richtlinieneinstellung hat konfiguriert, welche TPM-Autorisierungswerte in der Registrierung des lokalen Computers gespeichert werden. Bestimmte Autorisierungswerte sind erforderlich, damit Windows bestimmte Aktionen ausführen kann.

TPM 1.2-Wert TPM 2.0-Wert Zweck Auf Ebene 0 gehalten? Auf Ebene 2 gehalten? Auf Ebene 4 gehalten?
OwnerAuthAdmin StorageOwnerAuth Erstellen von SRK Nein Ja Ja
OwnerAuthEndorsement EndorsementAuth Erstellen oder Verwenden von EK (nur 1.2: Erstellen von AIK) Nein Ja Ja
OwnerAuthFull LockoutAuth Schutz vor Wörterbuchangriffen zurücksetzen/ändern Nein Nein Ja

Es gibt drei Authentifizierungseinstellungen für TPM-Besitzer, die vom Windows-Betriebssystem verwaltet werden. Sie können den Wert Vollständig, Delegat oder Keine auswählen.

  • Vollständig: Diese Einstellung speichert die vollständige TPM-Besitzerautorisierung, das TPM-Administratordelegierungsblob und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung. Mit dieser Einstellung können Sie das TPM verwenden, ohne dass der Remotespeicher oder externe Speicher des TPM-Besitzerautorisierungswerts erforderlich ist. Diese Einstellung eignet sich für Szenarien, in denen Sie die TPM-Anti-Hammering-Logik nicht zurücksetzen oder den TPM-Besitzerautorisierungswert ändern müssen. Einige TPM-basierte Anwendungen erfordern möglicherweise, dass diese Einstellung geändert wird, bevor Features verwendet werden können, die von der TPM-Antihämmerlogik abhängen. Die vollständige Besitzerautorisierung in TPM 1.2 ähnelt der Sperrautorisierung in TPM 2.0. Die Besitzerautorisierung hat eine andere Bedeutung für TPM 2.0.

  • Delegiert: Diese Einstellung speichert nur das Blob für die TPM-Administratordelegierung und das TPM-Benutzerdelegierungsblob in der lokalen Registrierung. Diese Einstellung eignet sich für die Verwendung mit TPM-basierten Anwendungen, die von der TPM-Antihammerlogik abhängig sind. Dies ist die Standardeinstellung in Windows vor Version 1703.

  • Keine: Diese Einstellung bietet Kompatibilität mit früheren Betriebssystemen und Anwendungen. Sie können es auch für Szenarien verwenden, in der die TPM-Besitzerautorisierung nicht lokal gespeichert werden kann. Die Verwendung dieser Einstellung kann probleme mit einigen TPM-basierten Anwendungen verursachen.

Hinweis

Wenn die Einstellung für die vom Betriebssystem verwaltete TPM-Authentifizierung von Vollständig in Delegiert geändert wird, wird der Autorisierungswert des vollständigen TPM-Besitzers erneut generiert, und alle Kopien des zuvor festgelegten TPM-Besitzerautorisierungswerts sind ungültig.

Registrierungsinformationen

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

Die folgende Tabelle zeigt die TPM-Besitzerautorisierungswerte in der Registrierung.

Wertdaten Einstellung
0 Keine
2 Abgeordnet
4 Vollständig

Wenn Sie diese Richtlinieneinstellung aktivieren, speichert das Windows-Betriebssystem die TPM-Besitzerautorisierung gemäß der von Ihnen gewählten TPM-Authentifizierungseinstellung in der Registrierung des lokalen Computers.

Wenn Sie diese Richtlinieneinstellung unter Windows 10 vor Version 1607 deaktivieren oder nicht konfigurieren und die Richtlinieneinstellung TPM-Sicherung für Active Directory-Domänendienste aktivieren ebenfalls deaktiviert oder nicht konfiguriert ist, besteht die Standardeinstellung darin, den vollständigen TPM-Autorisierungswert in der lokalen Registrierung zu speichern. Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist und die Richtlinieneinstellung TPM-Sicherung für Active Directory-Domänendienste aktivieren aktiviert ist, werden nur die Administratordelegierung und die Benutzerdelegierungsblobs in der lokalen Registrierung gespeichert.

Standard-Benutzersperrdauer

Mit dieser Richtlinieneinstellung können Sie die Dauer in Minuten für die Zählung von Standardbenutzerautorisierungsfehlern für TPM-Befehle (Trusted Platform Module) verwalten, die eine Autorisierung erfordern. Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die von Ihnen festgelegte Dauer sind, werden ignoriert. Wenn die Anzahl der TPM-Befehle mit einem Autorisierungsfehler innerhalb der Sperrdauer einem Schwellenwert entspricht, wird ein Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das TPM erfordern.

Das TPM ist so konzipiert, dass es sich vor Angriffen mit Kennworterraten schützt, indem es in einen Hardwaresperrmodus wechselt, wenn es zu viele Befehle mit einem falschen Autorisierungswert empfängt. Wenn das TPM in einen Sperrmodus wechselt, ist es global für alle Benutzer (einschließlich Administratoren) und für Windows-Features wie BitLocker-Laufwerkverschlüsselung.

Mit dieser Einstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, indem sie die Geschwindigkeit verlangsamen, mit der Standardbenutzer Befehle senden können, die eine Autorisierung an das TPM erfordern.

Für jeden Standardbenutzer gelten zwei Schwellenwerte. Das Überschreiten eines schwellenwerts verhindert, dass der Benutzer einen Befehl an das TPM sendet, der eine Autorisierung erfordert. Verwenden Sie die folgenden Richtlinieneinstellungen, um die Sperrdauer festzulegen:

Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrungslogik des TPM mithilfe von Windows Defender Security Center vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Dadurch können Standardbenutzer das TPM sofort normal verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird ein Standardwert von 480 Minuten (8 Stunden) verwendet.

Standard-Benutzer-Einzelsperrungsschwellenwert

Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für jeden Standardbenutzer für das Trusted Platform Module (TPM) verwalten. Dieser Wert ist die maximale Anzahl von Autorisierungsfehlern, die jeder Standardbenutzer haben kann, bevor der Benutzer keine Befehle senden darf, die eine Autorisierung an das TPM erfordern. Wenn die Anzahl der Autorisierungsfehler für den Benutzer innerhalb der Dauer, die für die Richtlinieneinstellung Standard-Benutzersperrdauer festgelegt ist, diesem Wert entspricht, wird der Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das Trusted Platform Module (TPM) erfordern.

Mit dieser Einstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, indem sie die Geschwindigkeit verlangsamen, mit der Standardbenutzer Befehle senden können, die eine Autorisierung an das TPM erfordern.

Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die Dauer sind, werden ignoriert.

Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrungslogik des TPM mithilfe von Windows Defender Security Center vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Dadurch können Standardbenutzer das TPM sofort normal verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 4 verwendet. Der Wert 0 (null) bedeutet, dass das Betriebssystem nicht zulässt, dass Standardbenutzer Befehle an das TPM senden können, was zu einem Autorisierungsfehler führen kann.

Schwellenwert für die Gesamtsperrung durch Standardbenutzer

Mit dieser Richtlinieneinstellung können Sie die maximale Anzahl von Autorisierungsfehlern für alle Standardbenutzer für das Trusted Platform Module (TPM) verwalten. Wenn die Gesamtanzahl der Autorisierungsfehler für alle Standardbenutzer innerhalb der Dauer, die für die Richtlinie Standard-Benutzersperrdauer festgelegt ist, diesem Wert entspricht, werden alle Standardbenutzer daran gehindert, Befehle zu senden, die eine Autorisierung an das Trusted Platform Module (TPM) erfordern.

Diese Einstellung hilft Administratoren dabei, zu verhindern, dass die TPM-Hardware in einen Sperrmodus wechselt, da sie die Geschwindigkeit verlangsamt, mit der Standardbenutzer Befehle senden können, die eine Autorisierung erfordern.

Ein Autorisierungsfehler tritt jedes Mal auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet und eine Fehlerantwort erhält, die auf einen Autorisierungsfehler hinweist. Autorisierungsfehler, die älter als die Dauer sind, werden ignoriert.

Ein Administrator mit dem TPM-Besitzerkennwort kann die Hardwaresperrungslogik des TPM mithilfe von Windows Defender Security Center vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Hardwaresperrungslogik des TPM zurücksetzt, werden alle vorherigen TPM-Autorisierungsfehler des Standardbenutzers ignoriert. Dadurch können Standardbenutzer das TPM sofort normal verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird der Standardwert 9 verwendet. Der Wert 0 (null) bedeutet, dass das Betriebssystem nicht zulässt, dass Standardbenutzer Befehle an das TPM senden können, was zu einem Autorisierungsfehler führen kann.

Konfigurieren sie das System für die Verwendung der Legacyeinstellung Parameter zur Schutz vor Wörterbuchangriffen für TPM 2.0

Diese Richtlinieneinstellung wurde in Windows 10, Version 1703, eingeführt und konfiguriert das TPM so, dass die Parameter zur Verhinderung von Wörterbuchangriffen (Sperrschwellenwert und Wiederherstellungszeit) für die Werte verwendet werden, die für Windows 10 Version 1607 und niedriger verwendet wurden.

Wichtig

Das Festlegen dieser Richtlinie wird nur wirksam, wenn:

  • Das TPM wurde ursprünglich mit einer Windows-Version nach Windows 10 Version 1607 vorbereitet.
  • Das System verfügt über ein TPM 2.0.

Hinweis

Das Aktivieren dieser Richtlinie wird erst wirksam, nachdem der TPM-Wartungstask ausgeführt wurde (dies geschieht in der Regel nach einem Systemneustart). Sobald diese Richtlinie auf einem System aktiviert wurde und wirksam wurde (nach einem Systemneustart), hat die Deaktivierung keine Auswirkungen, und das TPM des Systems bleibt mit den Legacyparametern zur Schutz vor Wörterbuchangriffen konfiguriert, unabhängig vom Wert dieser Gruppenrichtlinie. Die einzige Möglichkeit, dass die deaktivierte Einstellung dieser Richtlinie auf einem System wirksam wird, in dem sie einmal aktiviert wurde, sind die folgenden:

  • Deaktivieren von Gruppenrichtlinien
  • Löschen des TPM auf dem System

TPM-Gruppenrichtlinieneinstellungen in Windows-Sicherheit

Sie können ändern, was Benutzern über TPM in Windows-Sicherheit angezeigt wird. Die Gruppenrichtlinieneinstellungen für den TPM-Bereich in Windows-Sicherheit befinden sich unter Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows-Sicherheit>Gerätesicherheit.

Deaktivieren der Schaltfläche "TPM löschen"

Wenn Sie nicht möchten, dass Benutzer die Schaltfläche TPM löschen in Windows-Sicherheit auswählen können, können Sie sie mit dieser Gruppenrichtlinieneinstellung deaktivieren. Wählen Sie Aktiviert aus, damit die Schaltfläche TPM löschen nicht mehr zur Verwendung verfügbar ist.

Ausblenden der Tpm-Firmwareupdateempfehlung

Wenn Sie nicht möchten, dass Benutzern die Empfehlung zum Aktualisieren der TPM-Firmware angezeigt wird, können Sie sie mit dieser Einstellung deaktivieren. Wählen Sie Aktiviert aus, um zu verhindern, dass Benutzern eine Empfehlung angezeigt wird, ihre TPM-Firmware zu aktualisieren, wenn eine anfällige Firmware erkannt wird.