使用此策略设置,可以管理 Windows 所阻止的受信任的平台模块(TPM)命令的组策略列表。
如果启用此策略设置,Windows 将阻止指定的命令被发送到计算机上的 TPM。TPM 命令通过命令编号引用。例如,命令编号 129 是 TPM_OwnerReadInternalPub,而命令编号 170 是 TPM_FieldUpgrade。若要使用 TPM 1.2 查找与每个 TPM 命令关联的命令编号,请运行 "tpm.msc" 并导航到"命令管理"部分。
如果禁用或未配置此策略设置,则 Windows 只能阻止通过默认或本地列表指定的那些 TPM 命令。被阻止的 TPM 命令的默认列表由 Windows 预先进行配置。若要查看默认列表,你可以运行 "tpm.msc",导航到"命令管理"部分,然后使"在默认阻止列表上"列可见。通过运行 "tpm.msc" 或对 Win32_Tpm 界面编写脚本,可在组策略之外配置被阻止的 TPM 命令的本地列表。请参阅相关策略设置来强制实施或忽略被阻止的 TPM 命令的默认列表和本地列表。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
通过向列表中添加命令编号可以指定要阻止的命令。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands\List |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
例如,若要阻止命令 TPM_OwnerReadInternalPub
和 TPM_FieldUpgrade,请向列表中添加项目 129 和 170。