標準使用者鎖定總閾值

這個原則設定可以讓您管理所有標準使用者對信賴平台模組 (TPM) 的授權失敗次數上限。 如果在標準使用者鎖定期間內所有使用者授權失敗總數等於這個值,則會禁止所有標準使用者傳送命令給要求授權的信賴平台模組 (TPM)。

這個設定可以協助系統管理員防止 TPM 硬體進入鎖定模式,因為它會讓標準使用者傳送要求授權的命令到 TPM 的速度變慢。

標準使用者每次傳送命令到 TPM,卻收到指出發生授權失敗的錯誤回應時,就會發生授權失敗。 比這個期間還舊的授權失敗會被忽略。

每個標準使用者適用二種閾值。 超過任一種閾值都會禁止標準使用者傳送命令到 TPM 要求授權。

標準使用者個別鎖定值是在不允許使用者傳送要求授權的命令到 TPM 之前,允許每個標準使用者授權失敗的次數上限。

這個值是在不允許所有使用者傳送要求授權的命令到 TPM 之前,允許所有標準使用者授權失敗的總數上限。

TPM 的設計是藉由收到太多具有不正確授權值的命令時進入硬體鎖定模式的方式,來保護本身免於遭受密碼破解攻擊。 當 TPM 進入鎖定模式時,對所有使用者 (包含系統管理者) 和 Windows 功能 (例如 BitLocker 磁碟機加密) 而言都是全域的。 TPM 允許的授權失敗次數及維持鎖定的時間長度,依 TPM 製造商而有所不同。 有些 TPM 可能進入鎖定模式會持續較長的時間,而視過去的失敗而定,授權失敗次數較少。 有些 TPM 可能要求重新啟動系統才能結束鎖定模式。 其他 TPM 可能要求系統維持開啟,在 TPM 結束鎖定模式之前才有足夠的時脈週期。

擁有 TPM 擁有者密碼的系統管理員可以使用 TPM 管理主控台 (tpm.msc) 完整重設 TPM 的硬體鎖定邏輯。 每次系統管理員重設 TPM 的硬體鎖定邏輯時,先前所有標準使用者的 TPM 授權失敗都會被忽略; 而允許標準使用者可再度立即正常使用 TPM。

如果未設定這個值,則會使用預設值 9。

零值表示 OS 將不允許標準使用者傳送命令到可能造成授權失敗的 TPM。

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

每一期間授權失敗次數上限:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureTotalThreshold
Value TypeREG_DWORD
Default Value9
Min Value
Max Value100

tpm.admx

系統管理範本 (電腦)

系統管理範本 (使用者)