标准用户锁定持续时间

使用此策略设置,可以管理计算需要授权的受信任的平台模块(TPM)命令的标准用户授权失败次数的持续时间(以分钟为单位)。如果持续时间内授权失败的 TPM 命令数等于阈值,则会阻止标准用户向 TPM 发送需要授权的命令。

此设置可帮助管理员阻止 TPM 硬件进入锁定模式,因为它会降低标准用户向 TPM 发送需要授权的命令的速率。

如果标准用户向 TPM 发送命令并收到指示授权失败的错误响应,则说明授权失败。早于此持续时间的授权失败将被忽略。

对于每个标准用户,将应用两个阈值。超过任一阈值都会阻止标准用户向 TPM 发送需要授权的命令。

"标准用户锁定阈值(单个)"值为每个标准用户可以授权失败的最大次数,超过此值后将不允许该用户向 TPM 发送需要授权的命令。

"标准用户锁定总阈值"值为所有标准用户可以授权失败的最大总次数,超过此值后将不允许所有标准用户向 TPM 发送需要授权的命令。

根据设计,TPM 在收到过多授权值不正确的命令时会进入硬件锁定模式,避免自身受到密码猜测攻击。当 TPM 进入锁定模式时,所有用户(包括管理员)和 Windows 功能(例如 BitLocker 驱动器加密)都会受到影响。TPM 允许的授权失败次数以及锁定持续时间因 TPM 制造商而异。某些 TPM 可能会根据以前的失败次数,采用更少的授权失败次数进入持续时间更长的锁定模式。某些 TPM 可能需要系统重新启动才能退出锁定模式。其他 TPM 则可能需要系统经过足够多的时钟周期数,才能退出锁定模式。

拥有 TPM 所有者密码的管理员可以使用 TPM 管理控制台(tpm.msc)完全重置 TPM 的硬件锁定逻辑。每次管理员重置 TPM 的硬件锁定逻辑后,所有之前的标准用户 TPM 授权失败都将被忽略,标准用户可以立即再次正常使用 TPM。

如果未配置此值,则使用默认值 480 分钟(8 小时)。

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

计算 TPM 授权失败的持续时间(以分钟计):

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Default Value480
Min Value
Max Value10000

tpm.admx

管理模板(计算机)

管理模板(用户)