Mit dieser Richtlinieneinstellung wird konfiguriert, in welchem Umfang TPM-Besitzerautorisierungsinformationen in der Registrierung des lokalen Computers gespeichert werden. Abhängig vom Umfang der lokal gespeicherten TPM-Besitzerautorisierungsinformationen können bestimmte TPM-Aktionen, die eine TPM-Besitzerautorisierung erfordern, vom Betriebssystem und den TPM-basierten Anwendungen durchgeführt werden, ohne dass der Benutzer das TPM-Besitzerkennwort eingeben muss.
Sie können auswählen, ob der vollständige TPM-Besitzerautorisierungswert, das TPM-Verwaltungsdelegierungs-BLOB plus TPM-Benutzerdelegierungs-BLOB oder keiner der Werte vom Betriebssystem gespeichert werden sollen.
Wenn Sie diese Richtlinieneinstellung aktivieren, speichert Windows die TPM-Besitzerautorisierung in der Registrierung des lokalen Computers anhand der vom Betriebssystem verwalteten, von Ihnen festgelegten TPM-Authentifizierungseinstellung.
Wählen Sie die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Vollständig" aus, um die vollständige TPM-Besitzerautorisierung, das TPM-Verwaltungsdelegierungs-BLOB und das TPM-Benutzerdelegierungs-BLOB in der lokalen Registrierung zu speichern. Mit dieser Einstellung können Sie das TPM verwenden, ohne dass die externe Speicherung bzw. Remotespeicherung des TPM-Besitzerautorisierungswerts erforderlich wird. Diese Einstellung eignet sich für Szenarien, die nicht davon abhängig sind, ob das Zurücksetzen der TPM-Anti-Hammering-Logik oder das Ändern des TPM-Besitzerautorisierungswerts verhindert wird. Für manche TPM-basierten Anwendungen ist es möglicherweise notwendig, dass diese Einstellung geändert wird, bevor von der TPM-Anti-Hammering-Logik abhängige Features verwendet werden können.
Wählen Sie die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Delegiert" aus, um nur das TPM-Verwaltungsdelegierungs-BLOB und das TPM-Benutzerdelegierungs-BLOB in der lokalen Registrierung zu speichern. Diese Einstellung eignet sich für TPM-basierte Anwendungen, die von der TPM-Anti-Hammering-Logik abhängig sind.
Wählen Sie die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Keine" für Kompatibilität mit früheren Betriebssystemen und Anwendungen oder für Szenarien aus, in denen die TPM-Besitzerautorisierung nicht lokal gespeichert werden darf. Die Verwendung dieser Einstellung kann zu Problemen mit einigen TPM-basierten Anwendungen führen.
Hinweis: Wenn die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung von "Vollständig" in "Delegiert" geändert wird, wird der vollständige TPM-Besitzerautorisierungswert neu generiert. Kopien des ursprünglichen TPM-Besitzerautorisierungswerts werden ungültig.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 4 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 0 |