标准用户锁定总阈值

使用此策略设置,可以管理对于受信任的平台模块(TPM)所有标准用户的授权失败最大次数。如果在"标准用户锁定持续时间"的持续时间内所有标准用户的授权失败总次数等于此值,则会阻止所有标准用户向受信任的平台模块(TPM)发送需要授权的命令。

此设置可帮助管理员阻止 TPM 硬件进入锁定模式,因为它会降低标准用户向 TPM 发送需要授权的命令的速率。

如果标准用户向 TPM 发送命令并收到指示授权失败的错误响应,则说明授权失败。早于该持续时间的授权失败将被忽略。

对于每个标准用户,将应用两个阈值。超过任一阈值都会阻止标准用户向 TPM 发送需要授权的命令。

"标准用户单锁定"值为每个标准用户可以授权失败的最大次数,超过此值后将不允许该用户向 TPM 发送需要授权的命令。

此值为所有标准用户可以授权失败的最大总次数,超过此值后将不允许所有标准用户向 TPM 发送需要授权的命令。

根据设计,TPM 在收到过多授权值不正确的命令时会进入硬件锁定模式,避免自身受到密码猜测攻击。当 TPM 进入锁定模式时,所有用户(包括管理员)和 Windows 功能(例如 BitLocker 驱动器加密)都会受到影响。TPM 允许的授权失败次数以及锁定持续时间因 TPM 制造商而异。某些 TPM 可能会根据以前的失败次数,采用更少的授权失败次数进入持续时间更长的锁定模式。某些 TPM 可能需要系统重新启动才能退出锁定模式。其他 TPM 则可能需要系统经过足够多的时钟周期数,才能退出锁定模式。

拥有 TPM 所有者密码的管理员可以使用 TPM 管理控制台(tpm.msc)完全重置 TPM 的硬件锁定逻辑。每次管理员重置 TPM 的硬件锁定逻辑后,所有之前的标准用户 TPM 授权失败都将被忽略,标准用户可以立即再次正常使用 TPM。

如果未配置此值,则使用默认值 9。

值为零表示 OS 不允许标准用户向 TPM 发送可能导致授权失败的命令。

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

每个持续时间的最大授权失败次数:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Default Value9
Min Value
Max Value100

tpm.admx

管理模板(计算机)

管理模板(用户)