管理 TPM 命令
11/30/2017
本文内容
适用范围
Windows 10
Windows Server 2016
本主题针对 IT 专业人员介绍如何管理哪些受信任的平台模块 (TPM) 可供域用户和本地用户使用。
计算机用户获得 TPM 的所有权后,TPM 所有者可以通过创建阻止的 TPM 命令列表来限制可以运行的 TPM 命令。 可以使用组策略创建列表并应用于域中的所有计算机,或者可以使用 TPM MMC 为各个计算机创建列表。 由于某些硬件供应商可能会提供其他命令,或者受信任的计算组可能会决定在将来添加命令,因此 TPM MMC 还支持阻止新命令的功能。
以下过程介绍如何管理 TPM 命令列表。 您必须是本地用户管理员组。
使用本地组策略编辑器阻止 TPM 命令
打开 gpedit.msc (本地组策略) 。 如果显示"用户帐户控制"对话框,请确认它显示的操作是您想要的操作,然后单击"是 "。
备注
在域中具有适当权限的管理员可以配置组策略对象 (GPO) ,可以通过 Active Directory 域服务 (AD DS) 。
在控制台树中的"计算机配置 "下,展开"管理模板", 然后展开"系统"。
在 "系统" 下,单击 "受信任的平台模块服务"。
在详细信息窗格中,双击配置 阻止的 TPM 命令的列表。
单击 "启用",然后单击"显示 "。
对于要阻止的每个命令,单击 "添加",输入命令编号,然后单击"确定 "。
备注
有关命令的列表,请参阅 TPM 规范 中的链接。
为要阻止的每个命令添加数字后,单击"确定 " 两次。
关闭本地组策略编辑器。
使用 TPM MMC 阻止或允许 TPM 命令
打开 TPM MMC (tpm.msc)
如果显示"用户帐户控制"对话框,请确认它显示的操作是您想要的操作,然后单击"是 "。
在控制台树中,单击"命令管理"。 将显示 TPM 命令列表。
在列表中,选择要阻止或允许的命令。
在 "操作" 下,根据需要单击"阻止 所选 命令" 或"允许选择 的命令"。 如果 "允许选择的命令 "不可用,则组策略当前将阻止该命令。
阻止新命令
打开 TPM MMC (tpm.msc) 。
如果显示"用户帐户控制"对话框,请确认它显示的操作是您想要的操作,然后单击"是 "。
在控制台树中,单击"命令管理"。 将显示 TPM 命令列表。
在"操作"窗格中,单击"阻止新命令"。 将显示 "阻止新建命令 "对话框。
在"命令编号"文本框中,键入要阻止的新命令的编号,然后单击"确定 "。 您输入的命令编号将添加到阻止列表中。
使用 TPM cmdlet
可以使用 TPM 管理Windows PowerShell。 有关详细信息,请参阅TrustedPlatformModule PowerShell cmdlet。
相关主题