標準使用者鎖定期間

此原則設定可讓您管理計算需要授權之信賴平台模組 (TPM) 命令的標準使用者授權失敗期間 (分鐘)。如果在這個期間內授權失敗的 TPM 命令數目等於閾值,則會防止標準使用者傳送要求授權的命令到 TPM。

此設定可以協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會讓標準使用者傳送要求授權的命令到 TPM 的速度變慢。

標準使用者每次傳送命令到 TPM,卻收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。比這個期間還舊的授權失敗會被忽略。

每個標準使用者適用二種閾值。超過任一種閾值都會禁止標準使用者傳送命令到 TPM 要求授權。

標準使用者鎖定個別閾值是在不允許使用者傳送要求授權的命令到 TPM 之前,允許每個標準使用者授權失敗的次數上限。

標準使用者鎖定總閾值是在不允許所有使用者傳送要求授權的命令到 TPM 之前,允許所有標準使用者授權失敗的總數上限。

TPM 的設計是透過收到太多具有不正確授權值的命令時進入硬體鎖定模式的方式,來保護本身免於遭受密碼破解攻擊。當 TPM 進入鎖定模式時,對所有使用者 (包含系統管理者) 與 Windows 功能 (例如 BitLocker 磁碟機加密) 而言都是全域的。TPM 允許的授權失敗次數與維持鎖定的時間長度,依 TPM 製造商而有所不同。有些 TPM 可能進入鎖定模式會持續較長的時間,而視過去的失敗而定,授權失敗次數較少。有些 TPM 可能要求重新啟動系統才能結束鎖定模式。其他 TPM 可能要求系統維持開啟,在 TPM 結束鎖定模式之前才有足夠的時脈週期。

擁有 TPM 擁有者密碼的系統管理員可以使用 TPM 管理主控台 (tpm.msc) 完整重設 TPM 的硬體鎖定邏輯。每次系統管理員重設 TPM 的硬體鎖定邏輯時,先前所有標準使用者的 TPM 授權失敗都會被忽略; 而允許標準使用者可再度立即正常使用 TPM。

若未設定此值,則會使用預設值 480 分鐘 (8 小時)。

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

計算 TPM 授權失敗的期間 (分鐘):

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Default Value480
Min Value
Max Value10000

tpm.admx

系統管理範本 (電腦)

系統管理範本 (使用者)