Standardbenutzer-Sperrdauer

Mit dieser Richtlinieneinstellung können Sie den Zeitraum (in Minuten) zum Zählen von Autorisierungsfehlern von Standardbenutzern für TPM-Befehle (Trusted Platform Module) verwalten, die eine Autorisierung erfordern. Wenn die Anzahl der TPM-Befehle mit einem Autorisierungsfehler innerhalb des Zeitraums einen Schwellenwert erreicht, wird verhindert, dass Standardbenutzer Befehle an das TPM senden können, die eine Autorisierung erfordern.

Mit dieser Richtlinieneinstellung können Administratoren verhindern, dass die TPM-Hardware in einen Sperrmodus versetzt wird, da dies die Geschwindigkeit herabsetzt, mit der Standardbenutzer Befehle, für die eine Autorisierung erforderlich ist, an das TPM senden können.

Ein Fehler bei der Autorisierung tritt immer dann auf, wenn ein Standardbenutzer einen Befehl an das TPM sendet, woraufhin eine Fehlermeldung ausgegeben wird, die besagt, dass ein Autorisierungsfehler aufgetreten ist. Autorisierungsfehler, die älter als der Zeitraum sind, werden ignoriert.

Für jeden Standardbenutzer gelten zwei Schwellenwerte. Jede Überschreitung dieser Schwellenwerte verhindert, dass der Standardbenutzer einen Befehl, für den eine Autorisierung erforderlich ist, an den TPM senden kann.

Der Wert "Standardbenutzer-Sperrschwelle (einzeln)" entspricht der maximalen Gesamtzahl von Autorisierungsfehlern, die für einen einzelnen Standardbenutzer zulässig sind, bevor der Benutzer keine Befehle mehr an das TPM senden darf, die eine Autorisierung erfordern.

Der Wert "Standardbenutzer-Sperrschwelle (gesamt)" entspricht der maximalen Gesamtzahl von Autorisierungsfehlern, die für alle Standardbenutzer zulässig sind, bevor kein Standardbenutzer mehr Befehle an das TPM darf, die eine Autorisierung erfordern.

Das TPM besitzt eine Schutzfunktion gegen Programme zum Ermitteln von Kennwörtern, indem es in einen Hardware-Sperrmodus versetzt wird, wenn zu viele Befehle mit einem ungültigen Autorisierungswert eingehen. Wenn das TPM in den Sperrmodus versetzt wird, gilt dieser Modus global für alle Benutzer, inklusive Administratoren und Windows-Features wie die BitLocker-Laufwerkverschlüsselung. Die Anzahl von Autorisierungsfehlern, die ein TPM zulässt, und die Zeitdauer für den Sperrmodus variieren je nach TPM-Hersteller. Einige TPMs können in Abhängigkeit von früheren Fehlern für eine längere Zeitdauer und nach weniger Autorisierungsfehlern in den Sperrmodus versetzt werden. Bei manchen TPMs muss das System neu gestartet werden, um den Sperrmodus zu beenden. Bei anderen TPMs muss das System eingeschaltet bleiben, da eine gewisse Anzahl von Taktzyklen durchlaufen werden muss, um den Sperrmodus zu beenden.

Ein Administrator mit TPM-Besitzerkennwort kann die Sperrlogik der TPM-Hardware mithilfe der TPM-Verwaltungskonsole ("tpm.msc") vollständig zurücksetzen. Jedes Mal, wenn ein Administrator die Sperrlogik der TPM-Hardware zurücksetzt, werden alle bisherigen Autorisierungsfehler von Standardbenutzern für das TPM ignoriert, sodass die Standardbenutzer das TPM sofort wieder normal verwenden können.

Wird dieser Wert nicht konfiguriert, wird der Standardwert 480 Minuten (8 Stunden) verwendet.

Unterstützt auf: Mindestens Windows Server 2012, Windows 8 oder Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Dauer zum Zählen von TPM-Autorisierungsfehlern (Minuten):

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Default Value480
Min Value
Max Value10000

tpm.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)