這個原則設定讓您可以管理被 Windows 封鎖的可信賴平台模組 (TPM) 命令的群組原則清單。
如果您啟用這個原則設定,Windows 就會封鎖特定命令,使其不致被傳送到電腦上的 TPM。TPM 命令是以命令號碼來參照。例如,命令號碼 129 為 TPM_OwnerReadInternalPub,命令號碼 170 為 TPM_FieldUpgrade。若要尋找跟每個 TPM 命令有關的命令號碼,請執行 [tpm.msc],然後瀏覽至 [命令管理] 部分。
如果您停用或未設定這個原則設定,Windows 就僅能封鎖透過預設清單或本機清單指定的 TPM 命令。Windows 會預先設定封鎖 TPM 命令的預設清單。您可以藉由執行 [tpm.msc]、瀏覽至 [命令管理] 部分,然後顯示 [在預設封鎖清單上] 欄位,來檢視預設清單。封鎖 TPM 命令的本機清單是藉由執行 [tpm.msc] 或透過 Win32_Tpm 介面以指令碼處理,在群組原則之外設定。請參閱相關的原則設定,以強制執行或忽略封鎖 TPM 命令的預設和本機清單。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
藉由將命令編號新增到清單,以指定要封鎖的命令。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands\List |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
例如,若要封鎖 TPM_OwnerReadInternalPub
命令和 TPM_FieldUpgrade 命令,將項目 129 和 170 新增到清單。