Vakiokäyttäjän lukituksen yksilöllinen raja-arvo

Tämän käytäntöasetuksen avulla voit hallita kullekin vakiokäyttäjälle sallittujen käyttöoikeusvirheiden enimmäismäärää TPM-turvapiirissä. Jos käyttäjän käyttöoikeusvirheiden määrä Vakiokäyttäjän lukituksen kesto -asetuksella määritetyn ajanjakson aikana saavuttaa tämän arvon, vakiokäyttäjä lukitaan ja häntä estetään lähettämästä käyttöoikeuksia edellyttäviä komentoja TPM-turvapiirille.

Tämän asetuksen avulla järjestelmänvalvojat voivat estää TPM-laitteistoa siirtymästä lukitustilaan, koska se hidastaa nopeutta, jolla vakiokäyttäjät voivat lähettää käyttöoikeuksia edellyttäviä komentoja TPM-turvapiirille.

Käyttöoikeusvirhe ilmenee aina, kun vakiokäyttäjä lähettää TPM-komennon ja saa vastaukseksi virheen, jossa ilmoitetaan, että on tapahtunut käyttöoikeusvirhe. Tätä kestoa vanhemmat käyttöoikeusvirheet ohitetaan.

Jokaiselle vakiokäyttäjälle määritetään kaksi raja-arvoa. Kun jompikumpi raja-arvoista saavutetaan, vakiokäyttäjä ei voi enää lähettää TPM-turvapiirille komentoa, joka edellyttää käyttöoikeutta.

Tämä arvo määrittää käyttöoikeusvirheiden enimmäismäärän, joka sallitaan jokaiselle vakiokäyttäjälle, ennen kuin käyttäjältä estetään käyttöoikeuksia edellyttävien komentojen lähettäminen TPM-turvapiirille.

Vakiokäyttäjän lukituksen kokonaisraja-arvo -arvo määrittää kaikkien vakiokäyttäjien yhteenlasketun käyttöoikeusvirheiden enimmäismäärän, joka sallitaan vakiokäyttäjille, ennen kuin heiltä estetään käyttöoikeuksia edellyttävien komentojen lähettäminen TPM-turvapiirille.

TPM sisältää sisäisen suojauksen salasanojen arvausyrityksiä vastaan. Se siirtyy laitteistolukitustilaan vastaanotettuaan liian monta komentoa, joiden käyttöoikeusarvo on virheellinen. Kun TPM siirtyy lukitustilaan, tila koskee kaikkia käyttäjiä (myös järjestelmänvalvojia) ja Windows-ominaisuuksia, kuten BitLocker-asemansalausta. TPM:n sallima käyttöoikeusvirheiden määrä ja aika, jonka TPM on lukittuna, vaihtelevat TPM-turvapiirin valmistajan mukaan. Jotkin TPM-turvapiirit voivat aiempien virheiden perusteella siirtyä lukitustilaan pidemmäksi aikaa, vaikka virheiden määrä on aiempaa pienempi. Joskus TPM-turvapiirin lukitustilasta poistuminen edellyttää järjestelmän käynnistämistä uudelleen. Joissakin TPM-turvapiireissä lukitus poistuu vasta sitten, kun järjestelmä on ollut käynnissä niin kauan, että tarvittava määrä kellojaksoja on kulunut.

Järjestelmänvalvoja, jolla on TPM-turvapiirin omistajan salasana, voi nollata TPM-laitteiston lukituslogiikan käyttämällä TPM-hallintakonsolia (tpm.msc). Kun järjestelmänvalvoja nollaa TPM-laitteiston lukituslogiikan, kaikki edeltävät vakiokäyttäjän TPM-käyttöoikeusvirheet ohitetaan. Tämä tarkoittaa, että vakiokäyttäjät voivat välittömästi käyttää TPM-turvapiiriä normaalisti.

Jos tätä arvoa ei määritetä, käytetään oletusarvoa 4.

Arvo nolla tarkoittaa, että käyttöjärjestelmä ei salli vakiokäyttäjien lähettää komentoja TPM-turvapiirille. Siitä voi olla seurauksena käyttöoikeusvirhe.

Tuettu: Vähintään Windows Server 2012, Windows 8 tai Windows RT

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\Tpm
Value Name	StandardUserAuthorizationFailureIndividualThreshold
Value Type	REG_DWORD
Enabled Value	1
Disabled Value	0

Käyttöoikeusvirheiden enimmäismäärä keston aikana:

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\Tpm
Value Name	StandardUserAuthorizationFailureIndividualThreshold
Value Type	REG_DWORD
Default Value	4
Min Value
Max Value	100

tpm.admx

Vakiokäyttäjän lukituksen yksilöllinen raja-arvo

Hallintamallit (tietokoneet)

Hallintamallit (käyttäjät)