Indywidualny próg blokady użytkownika standardowego

To ustawienie zasad pozwala zarządzać maksymalną liczbą błędów autoryzacji modułu TPM dla każdego użytkownika standardowego. Jeśli liczba błędów autoryzacji użytkownika osiągnie tę wartość w czasie określonym w ustawieniu zasad Czas trwania zliczania na potrzeby blokady użytkownika standardowego, użytkownik standardowy nie będzie mógł wysyłać do modułu TPM poleceń wymagających autoryzacji.

To ustawienie pozwala administratorom uniemożliwić przejście sprzętowego modułu TPM do trybu blokady, ponieważ ogranicza ono szybkość przesyłania poleceń wymagających autoryzacji do modułu TPM przez użytkowników standardowych.

Błąd autoryzacji występuje za każdym razem, gdy użytkownik standardowy wysyła polecenie do modułu TPM i otrzymuje odpowiedź z błędem autoryzacji. Błędy autoryzacji starsze niż określony czas trwania są ignorowane.

W przypadku każdego użytkownika standardowego mają zastosowanie dwa progi. Przekroczenie któregokolwiek z nich uniemożliwia użytkownikowi standardowemu wysyłanie do modułu TPM polecenia wymagającego autoryzacji.

Ta wartość określa maksymalną liczbę błędów autoryzacji dla każdego użytkownika standardowego, po przekroczeniu której użytkownik standardowy nie będzie mógł wysyłać do modułu TPM poleceń wymagających autoryzacji.

Wartość Łączny próg blokady użytkownika standardowego określa maksymalną łączną liczbę błędów autoryzacji dla wszystkich użytkowników standardowych, po przekroczeniu której użytkownicy standardowi nie będą mogli wysyłać do modułu TPM poleceń wymagających autoryzacji.

Moduł TPM został zaprojektowany w taki sposób, aby sam się bronił przed atakami polegającymi na zgadywaniu hasła, przechodząc do trybu blokady sprzętowej w przypadku odebrania zbyt dużej liczby poleceń z niepoprawną wartością autoryzacji. Przejście modułu TPM do trybu blokady ma charakter globalny dla wszystkich użytkowników (w tym administratorów) i funkcji systemu Windows, takich jak szyfrowanie dysków funkcją BitLocker. Liczba błędów autoryzacji dozwolonych w module TPM oraz czas jego zablokowania różnią się w zależności od producenta modułu TPM. Niektóre moduły TPM mogą przechodzić do trybu blokady na coraz dłuższy czas przy mniejszej liczbie błędów autoryzacji w zależności od błędów, które wystąpiły w przeszłości. W przypadku niektórych modułów TPM zakończenie trybu blokady może wymagać ponownego uruchomienia systemu. W przypadku innych modułów TPM zakończenie trybu blokady może następować po upłynięciu określonej liczby cykli zegara przy włączonym systemie.

Administrator z hasłem właściciela modułu TPM może w pełni zresetować reguły logiczne blokowania sprzętowego modułu TPM za pomocą konsoli zarządzania modułem TPM (tpm.msc). Za każdym razem, gdy administrator resetuje reguły logiczne blokowania sprzętowego modułu TPM, wszystkie wcześniejsze błędy autoryzacji użytkownika standardowego w module TPM są ignorowane, co natychmiast pozwala użytkownikom standardowym ponownie normalnie korzystać z modułu TPM.

Jeśli ta wartość nie zostanie skonfigurowana, zostanie użyta wartość domyślna wynosząca 4.

Wartość zero oznacza, że system operacyjny nie zezwoli użytkownikom standardowym na wysyłanie do modułu TPM poleceń, które mogłyby spowodować błąd autoryzacji.

Obsługiwane na: Co najmniej system Windows Server 2012, Windows 8 lub Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureIndividualThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Maksymalna liczba błędów autoryzacji w czasie trwania:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureIndividualThreshold
Value TypeREG_DWORD
Default Value4
Min Value
Max Value100

tpm.admx

Szablony administracyjne (Komputery)

Szablony administracyjne (Użytkownicy)