표준 사용자 전체 잠금 임계값

이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)에 대해 모든 표준 사용자의 최대 권한 부여 실패 수를 관리할 수 있습니다. 표준 사용자 잠금 기간 내에 모든 표준 사용자의 권한 부여 실패 수가 이 값과 같으면 모든 표준 사용자는 권한 부여가 필요한 TPM(신뢰할 수 있는 플랫폼 모듈)으로 명령을 보낼 수 없게 됩니다.

관리자는 이 설정을 사용하여 표준 사용자가 TPM에 대한 권한 부여를 필요로 하는 명령을 보내는 속도가 느려서 TPM 하드웨어가 잠금 모드로 전환되는 것을 방지할 수 있습니다.

표준 사용자가 명령을 TPM으로 보내고 권한 부여 실패가 발생했음을 나타내는 오류 응답을 받을 때마다 권한 부여 실패가 발생합니다. 이 기간 이전에 발생한 권한 부여 실패는 무시됩니다.

각 표준 사용자마다 두 개 임계값이 적용됩니다. 한 임계값이라도 초과할 경우 표준 사용자는 권한 부여가 필요한 TPM으로 명령을 보낼 수 없게 됩니다.

표준 사용자 개별 잠금 값은 TPM에 대한 권한 부여를 필요로 하는 명령을 보내지 못하도록 사용자를 제한하기 전에 각 표준 사용자에게 허용되는 최대 권한 부여 실패 수입니다.

이 값은 TPM에 대한 권한 부여가 필요한 명령을 보낼 수 없도록 모든 표준 사용자를 제한하기 전에 모든 표준 사용자에게 허용되는 최대 권한 부여 실패 수입니다.

TPM은 잘못된 권한 부여 값이 지정된 명령을 너무 많이 받을 경우 하드웨어 잠금 모드로 전환됨으로써 암호 추측 공격으로부터 자체적으로 보호됩니다. TPM이 잠금 모드로 전환되면 잠금 상태가 관리자를 비롯한 모든 사용자와 BitLocker 드라이브 암호화와 같은 Windows 기능에 전체적으로 적용됩니다. TPM에서 허용하는 권한 부여 실패 수와 잠금 상태 유지 시간은 TPM 제조업체에 따라 다릅니다. 일부 TPM에서는 이전 실패 수에 따라 권한 실패 수가 더 적은 더 긴 연속 기간 동안 잠금 모드로 전환될 수 있습니다. 일부 TPM의 경우 시스템을 다시 시작해야만 잠금 모드가 종료됩니다. 그 밖의 TPM의 경우에는 시스템에서 충분한 클록 주기가 경과되고 나면 잠금 모드가 종료됩니다.

TPM 소유자 암호를 가진 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 초기화할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 초기화할 때마다 이전 표준 사용자 TPM 권한 부여 실패 수가 모두 무시됩니다. 따라서 표준 사용자가 TPM을 즉시 다시 정상적으로 사용할 수 있습니다.

이 값을 구성하지 않으면 기본값 9가 사용됩니다.

값이 0이면 OS에서 표준 사용자가 권한 부여 실패를 발생시킬 수 있는 명령을 TPM에 보내는 것을 허용하지 않습니다.

지원: Windows Server 2012, Windows 8 또는 Windows RT 이상

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

기간별 최대 권한 부여 실패 수

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Default Value9
Min Value
Max Value100

tpm.admx

관리 템플릿(컴퓨터)

관리 템플릿(사용자)