Индивидуальный порог блокировки обычных пользователей

Этот параметр политики позволяет управлять максимальным числом ошибок авторизации каждого обычного пользователя доверенного платформенного модуля (TPM). Если число ошибок авторизации пользователя за указанную в соответствующем параметре длительность блокировки обычных пользователей достигает этого значения, обычному пользователю запрещается отправлять доверенному платформенному модулю (TPM) команды, требующие авторизации.

Благодаря этому параметру снижается скорость, с которой обычные пользователи могут отправлять доверенному платформенному модулю команды, требующие авторизации, что помогает администраторам предотвращать переход оборудования доверенного платформенного модуля в режим блокировки.

Ошибка авторизации возникает каждый раз, когда обычный пользователь отправляет команду доверенному платформенному модулю и получает ошибочный ответ, свидетельствующий о сбое авторизации. Ошибки авторизации, имевшие место ранее указанного отрезка времени, игнорируются.

Для каждого обычного пользователя проверяются два пороговых значения. Превышение любого из них приведет к тому, что обычному пользователю будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации.

Данное значение — это максимальное число ошибок авторизации, которое может допустить каждый обычный пользователь, прежде чем ему будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации.

Указанное в соответствующем параметре значение «Общий порог блокировки обычных пользователей» — это максимальное число ошибок авторизации, которое могут допустить все обычные пользователи, прежде чем всем им будет запрещено отправлять доверенному платформенному модулю команды, требующие авторизации.

Доверенный платформенный модуль предусматривает средства самозащиты от атак угадывания пароля путем перехода в режим аппаратной блокировки при получении слишком большого числа команд с неверным значением авторизации. Когда доверенный платформенный модуль переходит в данный режим, блокировка является глобальной для всех пользователей, включая администраторов и компоненты Windows, такие как шифрование диска BitLocker. Число ошибок авторизации, допускаемое доверенным платформенным модулем, а также время его блокировки различаются в зависимости от изготовителя доверенного платформенного модуля. Некоторые доверенные платформенные модули могут с учетом истории ошибок авторизации переходить в режим блокировки на все более длительные периоды времени при все меньшем числе ошибок. Некоторые доверенные платформенные модули могут потребовать перезагрузки системы для выхода из режима блокировки. Другие доверенные платформенные модули могут потребовать, чтобы система находилась во включенном состоянии до тех пор, пока не пройдет достаточное количество циклов синхронизации, прежде чем выйти из режима блокировки.

Администратор с паролем владельца доверенного платформенного модуля может полностью сбросить логику аппаратной блокировки с помощью консоли управления доверенным платформенным модулем (tpm.msc). Каждый раз при сбросе администратором логики аппаратной блокировки доверенного платформенного модуля все предшествующие ошибки авторизации обычных пользователей игнорируются; это позволяет обычным пользователям немедленно возвращаться к использованию доверенного платформенного модуля в обычном режиме.

Если это значение не задано, по умолчанию используется значение 4.

Нулевое значение означает, что ОС запрещает обычным пользователям отправлять доверенному платформенному модулю команды, которые могут вызвать ошибку авторизации.

Поддерживается: Не ниже Windows Server 2012, Windows 8 или Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureIndividualThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Максимальное число ошибок авторизации за указанное время

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureIndividualThreshold
Value TypeREG_DWORD
Default Value4
Min Value
Max Value100

tpm.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)