Configurações da Política de Grupo do TPM

Este artigo descreve os Serviços do Trusted Platform Module (TPM) que podem ser controlados centralmente através das definições da Política de Grupo. As definições da Política de Grupo para serviços TPM estão localizadas em Configuração> do ComputadorModelos Administrativos Serviços de Módulos> dePlataforma Fidedigna doSistema>.

Configurar a lista de comandos TPM bloqueados

Esta definição de política permite-lhe gerir a lista de Políticas de Grupo de comandos TPM (Trusted Platform Module) bloqueados pelo Windows.

Se ativar esta definição de política, o Windows bloqueia o envio dos comandos especificados para o TPM no computador. Os comandos TPM são referenciados por um número de comando. Por exemplo, o número 129 do comando é TPM_OwnerReadInternalPube o número 170 do comando é TPM_FieldUpgrade.

Se desativar ou não configurar esta definição de política, apenas os comandos TPM especificados através das listas predefinidas ou locais podem ser bloqueados pelo Windows. A lista predefinida de comandos TPM bloqueados está pré-configurada pelo Windows. Pode ver a lista predefinida ao executar tpm.msc, navegar para a secção "Gestão de Comandos" e tornar visível a coluna "Na Lista de Blocos Predefinida". A lista local de comandos TPM bloqueados é configurada fora da Política de Grupo ao executar tpm.msc ou através de scripts na interface Win32_Tpm.

Configurar o sistema para limpar o TPM se não estiver num estado pronto

Esta definição de política configura o sistema para pedir ao utilizador para limpar o TPM se for detetado que o TPM está num estado diferente de Pronto. Esta política só entra em vigor se o TPM do sistema estiver num estado diferente de Pronto, incluindo se o TPM estiver "Pronto, com funcionalidade reduzida". O pedido para limpar o TPM começará a ocorrer após o próximo reinício, apenas após o início de sessão do utilizador se o utilizador com sessão iniciada fizer parte do grupo Administradores do sistema. O pedido pode ser dispensado, mas voltará a aparecer após cada reinício e início de sessão até que a política seja desativada ou até o TPM estar no estado Pronto.

Ignorar a lista predefinida de comandos TPM bloqueados

Esta definição de política permite-lhe impor ou ignorar a lista local do computador de comandos TPM (Trusted Platform Module) bloqueados.

Se ativar esta definição de política, o Windows ignora a lista local do computador de comandos TPM bloqueados e só bloqueará esses comandos TPM especificados pela Política de Grupo ou pela lista predefinida.

A lista local de comandos TPM bloqueados é configurada fora da Política de Grupo ao executar tpm.msc ou através de scripts na Win32_Tpm interface. A lista predefinida de comandos TPM bloqueados está pré-configurada pelo Windows. Veja a definição de política relacionada para configurar a lista de Políticas de Grupo de comandos TPM bloqueados.

Se desativar ou não configurar esta definição de política, o Windows bloqueia os comandos TPM encontrados na lista local, além de comandos na Política de Grupo e listas predefinidas de comandos TPM bloqueados.

Ignorar a lista local de comandos TPM bloqueados

Esta definição de política configura a quantidade de informações de autorização do proprietário do TPM armazenadas no registo do computador local. Dependendo da quantidade de informações de autorização do proprietário do TPM armazenadas localmente, o sistema operativo e as aplicações baseadas em TPM podem executar determinadas ações TPM, que requerem autorização do proprietário do TPM sem que o utilizador introduza a palavra-passe do proprietário do TPM.

Pode optar por ter o sistema operativo armazenado o valor completo de autorização do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM ou nenhum.

Se ativar esta definição de política, o Windows armazena a autorização do proprietário do TPM no registo do computador local de acordo com a definição de autenticação TPM gerida pelo sistema operativo que escolher.

Escolha a definição de autenticação TPM gerida pelo sistema operativo "Completa" para armazenar a autorização completa do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM no registo local. Esta definição permite a utilização do TPM sem que seja necessário armazenamento remoto ou externo do valor de autorização do proprietário do TPM. Esta definição é adequada para cenários, que não dependem da prevenção da reposição da lógica anti-martelada do TPM ou da alteração do valor de autorização do proprietário do TPM. Algumas aplicações baseadas em TPM podem exigir que esta definição seja alterada antes de as funcionalidades, que dependem da lógica anti-martelada do TPM, poderem ser utilizadas.

Escolha a definição de autenticação TPM gerida pelo sistema operativo "Delegado" para armazenar apenas o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM no registo local. Esta definição é adequada para utilização com aplicações baseadas em TPM que dependem da lógica anti-martelada do TPM.

Escolha a definição de autenticação TPM gerida pelo sistema operativo "Nenhum" para compatibilidade com sistemas operativos e aplicações anteriores ou para utilizar com cenários que exijam autorização do proprietário do TPM que não sejam armazenados localmente. A utilização desta definição pode causar problemas em algumas aplicações baseadas em TPM.

Observação

Se a definição de autenticação TPM gerida pelo sistema operativo for alterada de "Completo" para "Delegado", o valor completo de autorização do proprietário do TPM será regenerado e todas as cópias do valor de autorização do proprietário do TPM original serão invalidadas.

Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operativo

Importante

A partir do Windows 10, versão 1703, o valor predefinido é 5. Este valor é implementado durante o aprovisionamento para que outro componente do Windows possa eliminá-lo ou assumir a propriedade do mesmo, consoante a configuração do sistema. Para o TPM 2.0, um valor de 5 significa manter a autorização de bloqueio. Para o TPM 1.2, significa eliminar a autorização completa do proprietário do TPM e reter apenas a autorização Delegada.

Esta definição de política configurou os valores de autorização do TPM armazenados no registo do computador local. Determinados valores de autorização são necessários para permitir que o Windows efetue determinadas ações.

Valor TPM 1.2 Valor TPM 2.0 Finalidade Mantido no nível 0? Mantido no nível 2? Mantido no nível 4?
OwnerAuthAdmin StorageOwnerAuth Criar SRK Não Sim Sim
OwnerAuthEndorsement EndorsementAuth Criar ou utilizar o EK (apenas 1.2: Criar AIK) Não Sim Sim
OwnerAuthFull LockoutAuth Repor/alterar a Proteção contra Ataques no Dicionário Não Não Sim

Existem três definições de autenticação do proprietário do TPM que são geridas pelo sistema operativo Windows. Pode escolher um valor de Completo, Delegado ou Nenhum.

  • Completa: esta definição armazena a autorização completa do proprietário do TPM, o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM no registo local. Com esta definição, pode utilizar o TPM sem precisar de armazenamento remoto ou externo do valor de autorização do proprietário do TPM. Esta definição é adequada para cenários que não exijam que reponha a lógica anti-martelada do TPM ou altere o valor de autorização do proprietário do TPM. Algumas aplicações baseadas em TPM podem exigir que esta definição seja alterada antes de as funcionalidades que dependem da lógica anti-martelada do TPM poderem ser utilizadas. A autorização total do proprietário no TPM 1.2 é semelhante à autorização de bloqueio no TPM 2.0. A autorização do proprietário tem um significado diferente para o TPM 2.0.

  • Delegada: esta definição armazena apenas o blob de delegação administrativa do TPM e o blob de delegação de utilizador do TPM no registo local. Esta definição é adequada para utilização com aplicações baseadas em TPM que dependem da lógica antihammering do TPM. Esta é a predefinição no Windows anterior à versão 1703.

  • Nenhuma: esta definição fornece compatibilidade com aplicações e sistemas operativos anteriores. Também pode utilizá-la para cenários em que a autorização do proprietário do TPM não pode ser armazenada localmente. A utilização desta definição pode causar problemas em algumas aplicações baseadas em TPM.

Observação

Se a definição de autenticação TPM gerida pelo sistema operativo for alterada de Completa para Delegada, o valor de autorização do proprietário do TPM será regenerado e quaisquer cópias do valor de autorização do proprietário do TPM anteriormente definido serão inválidas.

Informações do registo

Chave do registo: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

A tabela seguinte mostra os valores de autorização do proprietário do TPM no registo.

Dados de Valor Configuração
0 Nenhum
2 Delegado
4 Completo

Se ativar esta definição de política, o sistema operativo Windows armazena a autorização do proprietário do TPM no registo do computador local de acordo com a definição de autenticação TPM que escolher.

No Windows 10 anterior à versão 1607, se desativar ou não configurar esta definição de política e a definição de política Ativar a cópia de segurança do TPM para os Serviços de Domínio do Active Directory também estiver desativada ou não estiver configurada, a predefinição é armazenar o valor de autorização TPM completo no registo local. Se esta política estiver desativada ou não estiver configurada e a definição de política Ativar a cópia de segurança do TPM para os Serviços de Domínio do Active Directory estiver ativada, apenas a delegação administrativa e os blobs de delegação de utilizadores são armazenados no registo local.

Duração Padrão do Bloqueio do Utilizador

Esta definição de política permite-lhe gerir a duração em minutos para contar falhas de autorização de utilizador padrão para comandos TPM (Trusted Platform Module) que requerem autorização. Ocorre uma falha de autorização sempre que um utilizador padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização mais antigas do que a duração definida são ignoradas. Se o número de comandos TPM com uma falha de autorização dentro da duração do bloqueio for igual a um limiar, um utilizador padrão será impedido de enviar comandos que exijam autorização para o TPM.

O TPM foi concebido para se proteger contra ataques de adivinhação de palavras-passe ao entrar no modo de bloqueio de hardware quando recebe demasiados comandos com um valor de autorização incorreto. Quando o TPM entra num modo de bloqueio, é global para todos os utilizadores (incluindo administradores) e para funcionalidades do Windows, como a Encriptação de Unidade BitLocker.

Esta definição ajuda os administradores a impedir que o hardware TPM entre num modo de bloqueio ao abrandar a velocidade a que os utilizadores padrão podem enviar comandos que requerem autorização para o TPM.

Para cada utilizador padrão, aplicam-se dois limiares. Exceder qualquer limiar impede o utilizador de enviar um comando que requer autorização para o TPM. Utilize as seguintes definições de política para definir a duração do bloqueio:

  • Limiar de Bloqueio Individual do Utilizador Padrão: este valor é o número máximo de falhas de autorização que cada utilizador padrão pode ter antes de o utilizador não ter permissão para enviar comandos que requerem autorização para o TPM.
  • Limiar de Bloqueio Total do Utilizador Padrão: este valor é o número total máximo de falhas de autorização que todos os utilizadores padrão podem ter antes de todos os utilizadores padrão não poderem enviar comandos que exijam autorização para o TPM.

Um administrador com a palavra-passe de proprietário do TPM pode repor totalmente a lógica de bloqueio de hardware do TPM com o Centro de Segurança do Windows Defender. Sempre que um administrador repõe a lógica de bloqueio de hardware do TPM, todas as falhas de autorização do TPM padrão do utilizador anterior são ignoradas. Isto permite que os utilizadores padrão utilizem imediatamente o TPM normalmente.

Se não configurar esta definição de política, é utilizado um valor predefinido de 480 minutos (8 horas).

Limiar de Bloqueio Individual do Utilizador Padrão

Esta definição de política permite-lhe gerir o número máximo de falhas de autorização para cada utilizador padrão para o Trusted Platform Module (TPM). Este valor é o número máximo de falhas de autorização que cada utilizador padrão pode ter antes de o utilizador não ter permissão para enviar comandos que requerem autorização para o TPM. Se o número de falhas de autorização do utilizador durante o período definido para a definição da política Duração Padrão do Bloqueio de Utilizador for igual a este valor, o utilizador padrão será impedido de enviar comandos que exijam autorização para o Trusted Platform Module (TPM).

Esta definição ajuda os administradores a impedir que o hardware TPM entre num modo de bloqueio ao abrandar a velocidade a que os utilizadores padrão podem enviar comandos que requerem autorização para o TPM.

Ocorre uma falha de autorização sempre que um utilizador padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização anteriores à duração são ignoradas.

Um administrador com a palavra-passe de proprietário do TPM pode repor totalmente a lógica de bloqueio de hardware do TPM com o Centro de Segurança do Windows Defender. Sempre que um administrador repõe a lógica de bloqueio de hardware do TPM, todas as falhas de autorização do TPM padrão do utilizador anterior são ignoradas. Isto permite que os utilizadores padrão utilizem imediatamente o TPM normalmente.

Se não configurar esta definição de política, é utilizado um valor predefinido de 4. Um valor de zero significa que o sistema operativo não permitirá que os utilizadores padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Limiar de Bloqueio Total do Utilizador Padrão

Esta definição de política permite-lhe gerir o número máximo de falhas de autorização para todos os utilizadores padrão para o Trusted Platform Module (TPM). Se o número total de falhas de autorização para todos os utilizadores padrão durante o período definido para a política duração de Bloqueio de Utilizador Padrão for igual a este valor, todos os utilizadores padrão serão impedidos de enviar comandos que exijam autorização para o Trusted Platform Module (TPM).

Esta definição ajuda os administradores a impedir que o hardware TPM entre num modo de bloqueio, uma vez que atrasa a velocidade padrão que os utilizadores podem enviar comandos que requerem autorização para o TPM.

Ocorre uma falha de autorização sempre que um utilizador padrão envia um comando para o TPM e recebe uma resposta de erro que indica que ocorreu uma falha de autorização. As falhas de autorização anteriores à duração são ignoradas.

Um administrador com a palavra-passe de proprietário do TPM pode repor totalmente a lógica de bloqueio de hardware do TPM com o Centro de Segurança do Windows Defender. Sempre que um administrador repõe a lógica de bloqueio de hardware do TPM, todas as falhas de autorização do TPM padrão do utilizador anterior são ignoradas. Isto permite que os utilizadores padrão utilizem imediatamente o TPM normalmente.

Se não configurar esta definição de política, é utilizado um valor predefinido de 9. Um valor de zero significa que o sistema operativo não permitirá que os utilizadores padrão enviem comandos para o TPM, o que pode causar uma falha de autorização.

Configurar o sistema para utilizar a definição de Parâmetros de Prevenção de Ataques de Dicionário legados para o TPM 2.0

Introduzida no Windows 10, versão 1703, esta definição de política configura o TPM para utilizar os Parâmetros de Prevenção de Ataques do Dicionário (limiar de bloqueio e tempo de recuperação) para os valores que foram utilizados para o Windows 10 Versão 1607 e abaixo.

Importante

Definir esta política só entrará em vigor se:

  • O TPM foi originalmente preparado com uma versão do Windows após o Windows 10 Versão 1607
  • O sistema tem um TPM 2.0.

Observação

A ativação desta política só entrará em vigor após a execução da tarefa de manutenção do TPM (o que normalmente acontece após um reinício do sistema). Assim que esta política tiver sido ativada num sistema e tiver sido aplicada (após um reinício do sistema), a sua desativação não terá qualquer impacto e o TPM do sistema permanecerá configurado com os parâmetros de Prevenção de Ataques de Dicionário legados, independentemente do valor desta política de grupo. As únicas formas de a definição desativada desta política entrar em vigor num sistema em que foi ativada são:

  • Desativar a política de grupo
  • Limpar o TPM no sistema

Definições da Política de Grupo do TPM na Segurança do Windows

Pode alterar o que os utilizadores veem sobre o TPM na Segurança do Windows. As definições da Política de Grupo para a área TPM na Segurança do Windows estão localizadas em Configuração>do Computador Modelos Administrativos Componentes>> doWindowsSegurançado Dispositivode Segurança> do Windows.

Desativar o botão Limpar TPM

Se não quiser que os utilizadores possam selecionar o botão Limpar TPM na Segurança do Windows, pode desativá-lo com esta definição de Política de Grupo. Selecione Ativado para tornar o botão Limpar TPM indisponível para utilização.

Ocultar a recomendação de Atualização de Firmware do TPM

Se não quiser que os utilizadores vejam a recomendação para atualizar o firmware do TPM, pode desativá-lo com esta definição. Selecione Ativado para impedir que os utilizadores vejam uma recomendação para atualizar o firmware do TPM quando é detetado um firmware vulnerável.