标准用户锁定总阈值

使用此策略设置,可以管理对于受信任的平台模块(TPM)所有标准用户的最大授权失败次数。 如果"标准用户锁定持续时间"的持续时间内所有标准用户的授权失败总次数等于此值,则会阻止所有标准用户向受信任的平台模块(TPM)发送需要授权的命令。

此设置帮助管理员阻止 TPM 硬件进入锁定模式,因为这会降低标准用户向 TPM 发送需要授权的命令的速度。

每次标准用户向 TPM 发送命令并收到表示发生授权失败的错误响应时,会发生授权失败。 早于该持续时间的授权失败将被忽略。

对于每个标准用户,将应用两个阈值。 超过任一阈值都会导致阻止标准用户向 TPM 发送需要授权的命令。

"标准用户单锁定"值为不允许每个标准用户向 TPM 发送需要授权的命令前授权失败的最大次数。

此值为不允许所有标准用户向 TPM 发送需要授权的命令前授权失败的最大总数。

TPM 旨在通过在接收到过多具有不正确授权值的命令时进入硬件锁定模式来保护其自身不会受到密码猜测攻击。 当 TPM 进入锁定模式时,是针对包括管理员在内的所有用户和 Windows 功能(例如 BitLocker 驱动器加密)的全局模式。 TPM 允许的授权失败次数以及锁定持续时间随 TPM 制造商的不同而不同。 某些 TPM 可能会根据以前的失败,采用更少的授权失败次数进入持续时间更长的锁定模式。 某些 TPM 可能需要系统重新启动才能退出锁定模式。 其他 TPM 则可能需要系统经过足够长的时钟周期数 TPM 才能退出锁定模式。

拥有 TPM 所有者密码的管理员可以使用 TPM 管理控制台(tpm.msc)完全重置 TPM 的硬件锁定逻辑。 每次管理员重置 TPM 的硬件锁定逻辑后,所有之前标准用户 TPM 授权失败都将被忽略;以便标准用户可以立即再次正常使用 TPM。

如果未配置此值,则使用默认值 9。

值零(0)表示操作系统不允许标准用户向 TPM 发送可能导致授权失败的命令。

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

每个持续时间的最大授权失败次数:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Default Value9
Min Value
Max Value100

tpm.admx

管理模板(计算机)

管理模板(用户)