Paramètres de stratégie de groupe du Module de plateforme sécurisée (TPM)
Cet article décrit les services de module de plateforme sécurisée (TPM) qui peuvent être contrôlés de manière centralisée à l’aide des paramètres de stratégie de groupe. Les paramètres de stratégie de groupe pour les services TPM se trouvent sous Configuration> ordinateurModèles> d’administrationServices de>module de plateforme sécurisée système.
Configurer la liste des commandes TPM bloquées
Ce paramètre de stratégie vous permet de gérer la liste des stratégies de groupe des commandes de module de plateforme sécurisée (TPM) bloquées par Windows.
Si vous activez ce paramètre de stratégie, Windows bloque l’envoi des commandes spécifiées au module de plateforme sécurisée sur l’ordinateur. Les commandes TPM sont référencées par un numéro de commande. Par exemple, le numéro de 129
la commande est TPM_OwnerReadInternalPub
, et le numéro de 170
commande est TPM_FieldUpgrade
.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, seules les commandes TPM spécifiées par le biais des listes par défaut ou locales peuvent être bloquées par Windows. La liste par défaut des commandes TPM bloquées est préconfigurée par Windows. Vous pouvez afficher la liste par défaut en exécutant tpm.msc
, en accédant à la section « Gestion des commandes » et en rendant visible la colonne « On Default Block List ». La liste locale des commandes TPM bloquées est configurée en dehors de la stratégie de groupe en exécutant tpm.msc
ou via des scripts sur l’interface Win32_Tpm.
Configurer le système pour effacer le module de plateforme sécurisée s’il n’est pas dans un état prêt
Ce paramètre de stratégie configure le système pour inviter l’utilisateur à effacer le module de plateforme sécurisée si celui-ci est détecté dans un état autre que Prêt. Cette stratégie prend effet uniquement si le module de plateforme sécurisée du système est dans un état autre que Prêt, y compris si le module de plateforme sécurisée est « Prêt, avec des fonctionnalités réduites ». L’invite d’effacement du module de plateforme sécurisée commence à se produire après le redémarrage suivant, lors de la connexion de l’utilisateur uniquement si l’utilisateur connecté fait partie du groupe Administrateurs pour le système. L’invite peut être ignorée, mais réapparaît après chaque redémarrage et chaque connexion jusqu’à ce que la stratégie soit désactivée ou que le module de plateforme sécurisée soit dans un état Prêt.
Ignorer la liste par défaut des commandes TPM bloquées
Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste locale de l’ordinateur des commandes de module de plateforme sécurisée (TPM) bloquées.
Si vous activez ce paramètre de stratégie, Windows ignore la liste locale des commandes TPM bloquées de l’ordinateur et bloque uniquement les commandes TPM spécifiées par la stratégie de groupe ou la liste par défaut.
La liste locale des commandes TPM bloquées est configurée en dehors de la stratégie de groupe en exécutant tpm.msc
ou via des scripts sur l’interface Win32_Tpm
. La liste par défaut des commandes TPM bloquées est préconfigurée par Windows. Consultez le paramètre de stratégie associé pour configurer la liste des stratégies de groupe des commandes TPM bloquées.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows bloque les commandes TPM figurant dans la liste locale, en plus des commandes de la stratégie de groupe et des listes par défaut des commandes TPM bloquées.
Ignorer la liste locale des commandes TPM bloquées
Ce paramètre de stratégie configure la quantité d’informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) stockées dans le registre de l’ordinateur local. En fonction de la quantité d’informations d’autorisation du propriétaire TPM stockées localement, le système d’exploitation et les applications TPM peuvent effectuer certaines actions TPM, qui nécessitent l’autorisation du propriétaire du module de plateforme sécurisée sans que l’utilisateur entre le mot de passe du propriétaire du module de plateforme sécurisée.
Vous pouvez choisir que le système d’exploitation stocke soit la valeur d’autorisation complète du propriétaire du module de plateforme sécurisée, l’objet blob de délégation d’administration TPM plus l’objet blob de délégation d’utilisateur TPM, soit aucun.
Si vous activez ce paramètre de stratégie, Windows stocke l’autorisation du propriétaire TPM dans le registre de l’ordinateur local en fonction du paramètre d’authentification TPM géré par le système d’exploitation que vous choisissez.
Choisissez le paramètre d’authentification TPM géré par le système d’exploitation « Full » pour stocker l’autorisation complète du propriétaire TPM, l’objet blob de délégation administrative TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Ce paramètre permet d’utiliser le module de plateforme sécurisée sans nécessiter de stockage distant ou externe de la valeur d’autorisation du propriétaire du module de plateforme sécurisée. Ce paramètre est approprié pour les scénarios qui ne dépendent pas de la réinitialisation de la logique anti-marteau du module de plateforme sécurisée ou de la modification de la valeur d’autorisation du propriétaire du module de plateforme sécurisée. Certaines applications basées sur le module de plateforme sécurisée peuvent nécessiter la modification de ce paramètre avant que les fonctionnalités, qui dépendent de la logique de martelage du module TPM, puissent être utilisées.
Choisissez le paramètre d’authentification TPM géré par le système d’exploitation « Délégué » pour stocker uniquement l’objet blob de délégation administrative TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Ce paramètre est approprié pour une utilisation avec des applications TPM qui dépendent de la logique anti-hammering TPM.
Choisissez le paramètre d’authentification TPM géré par le système d’exploitation « Aucun » pour la compatibilité avec les systèmes d’exploitation et les applications précédents ou pour une utilisation avec des scénarios qui nécessitent que l’autorisation du propriétaire du module de plateforme sécurisée ne soit pas stockée localement. L’utilisation de ce paramètre peut entraîner des problèmes avec certaines applications basées sur le TPM.
Remarque
Si le paramètre d’authentification TPM géré par le système d’exploitation passe de « Complet » à « Délégué », la valeur d’autorisation complète du propriétaire du module de plateforme sécurisée est régénérée et toutes les copies de la valeur d’autorisation du propriétaire du module de plateforme sécurisée d’origine sont invalidées.
Configurer le niveau d’autorisation du propriétaire du module de plateforme sécurisée (TPM) disponible pour le système d’exploitation
Important
À partir de la version 1703 de Windows 10, la valeur par défaut est 5. Cette valeur est implémentée lors de l’approvisionnement afin qu’un autre composant Windows puisse la supprimer ou s’en approprier, selon la configuration du système. Pour le module de plateforme sécurisée (TPM) 2.0, une valeur de 5 signifie conserver l’autorisation de verrouillage. Pour le module de plateforme sécurisée (TPM) 1.2, cela signifie ignorer l’autorisation du propriétaire du TPM complet et conserver uniquement l’autorisation déléguée.
Ce paramètre de stratégie a configuré les valeurs d’autorisation du TPM qui sont stockées dans le Registre de l’ordinateur local. Certaines valeurs d’autorisation sont requises pour permettre à Windows d’effectuer certaines actions.
Valeur TPM 1.2 | Valeur TPM 2.0 | Objectif | Conservé au niveau 0 ? | Conservé au niveau 2 ? | Conservé au niveau 4 ? |
---|---|---|---|---|---|
OwnerAuthAdmin | StorageOwnerAuth | Créer SRK | Non | Oui | Oui |
OwnerAuthEndorsement | EndorsementAuth | Créer ou utiliser EK (1.2 uniquement : Créer un AIK) | Non | Oui | Oui |
OwnerAuthFull | LockoutAuth | Réinitialiser/modifier la protection contre les attaques par dictionnaire | Non | Non | Oui |
Trois paramètres d’authentification du propriétaire du TPM sont gérés par le système d’exploitation Windows. Vous pouvez choisir la valeur Complet, Déléguéou Aucun.
Complet : ce paramètre stocke l’autorisation complète du propriétaire du module de plateforme sécurisée, l’objet blob de délégation d’administration TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Avec ce paramètre, vous pouvez utiliser le TPM sans nécessiter de stockage distant ou externe de la valeur d’autorisation du propriétaire du module de plateforme sécurisée (TPM). Ce paramètre est approprié pour les scénarios qui ne vous obligent pas à réinitialiser la logique anti-marteau du module de plateforme sécurisée ou à modifier la valeur d’autorisation du propriétaire du module de plateforme sécurisée. Certaines applications basées sur le TPM peuvent exiger que ce paramètre soit modifié pour que les fonctionnalités qui dépendent de la logique anti-martèlement du TPM soient utilisées. L’autorisation propriétaire totale dans le TPM 1.2 est similaire à l’autorisation de verrouillage dans le TPM 2.0. L’autorisation du propriétaire a une signification différente pour le TPM 2.0.
Délégué : ce paramètre stocke uniquement l’objet blob de délégation administrative TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Ce paramètre est approprié pour une utilisation avec des applications basées sur le TPM qui dépendent de la logique anti-martèlement du TPM. Il s’agit du paramètre par défaut dans Windows antérieur à la version 1703.
Aucun : ce paramètre assure la compatibilité avec les systèmes d’exploitation et les applications précédents. Vous pouvez également l’utiliser pour les scénarios où l’autorisation du propriétaire TPM ne peut pas être stockée localement. L’utilisation de ce paramètre peut entraîner des problèmes avec certaines applications basées sur le TPM.
Remarque
Si le paramètre d’authentification TPM géré du système d’exploitation passe de Complet à Délégué,la valeur d’autorisation du propriétaire du TPM complète est régénérée et les copies de la valeur d’autorisation du propriétaire du TPM précédemment définie ne sont pas valides.
Informations du Registre
Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD : OSManagedAuthLevel
Le tableau suivant indique les valeurs d’autorisation du propriétaire du TPM dans le Registre.
Données de valeur | Paramètre |
---|---|
0 | Aucun(e) |
2 | Déléguée |
4 | Complet |
Si vous activez ce paramètre de stratégie, le système d’exploitation Windows stocke l’autorisation du propriétaire du module de plateforme sécurisée dans le registre de l’ordinateur local en fonction du paramètre d’authentification TPM que vous choisissez.
Sur Windows 10 antérieur à la version 1607, si vous désactivez ou ne configurez pas ce paramètre de stratégie, et que le paramètre de stratégie Activer la sauvegarde TPM dans les services de domaine Active Directory est également désactivé ou non configuré, le paramètre par défaut consiste à stocker la valeur d’autorisation TPM complète dans le Registre local. Si cette stratégie est désactivée ou n’est pas configurée et que le paramètre de stratégie Activer la sauvegarde du module de plateforme sécurisée dans Active Directory Domain Services (AD DS) est activé, seuls les blobs de délégation d’administration et de délégation d’utilisateur sont stockés dans le Registre local.
Durée standard du verrouillage de l’utilisateur
Ce paramètre de stratégie vous permet de gérer la durée en minutes du décompte des échecs d’autorisation utilisateur standard pour les commandes de module de plateforme sécurisée (TPM) nécessitant une autorisation. Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur qui indique qu’un échec d’autorisation s’est produit. Les échecs d'autorisation qui sont plus anciens que la durée que vous avez fixée sont ignorés. Si le nombre de commandes du TPM dont l’autorisation a échoué pendant la durée du verrouillage est égal à un seuil, un utilisateur standard ne peut pas envoyer de commandes nécessitant une autorisation au TPM.
Le TPM est conçu pour se protéger contre les attaques par estimation de mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes avec une valeur d’autorisation incorrecte. Lorsque le TPM passe en mode de verrouillage, il est global pour tous les utilisateurs (y compris les administrateurs) et pour les fonctionnalités Windows telles que le chiffrement de lecteur BitLocker.
Ce paramètre permet aux administrateurs d’empêcher le matériel du TPM d’entrer en mode verrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au TPM.
Pour chaque utilisateur standard, deux seuils s’appliquent. Le dépassement de l’un ou l’autre seuil empêche l’utilisateur d’envoyer une commande nécessitant une autorisation au TPM. Utilisez les paramètres de stratégie suivants pour définir la durée du verrouillage :
- Seuil de verrouillage individuel de l’utilisateur standard : cette valeur correspond au nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant que l’utilisateur ne soit autorisé à envoyer des commandes nécessitant une autorisation au TPM.
- Seuil de verrouillage total de l’utilisateur standard : cette valeur correspond au nombre total maximal d’échecs d’autorisation que tous les utilisateurs standard peuvent avoir avant que tous les utilisateurs standard ne soient autorisés à envoyer des commandes qui nécessitent une autorisation au TPM.
Un administrateur ayant le mot de passe du propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage du matériel du TPM à l’aide du Centre de sécurité Windows Defender. Chaque fois qu’un administrateur réinitialise la logique de verrouillage du matériel du TPM, tous les échecs d’autorisation du TPM standard précédents sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, une valeur par défaut de 480 minutes (8 heures) est utilisée.
Seuil de verrouillage individuel de l’utilisateur standard
Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour chaque utilisateur standard pour le module de plateforme sécurisée (TPM). Cette valeur correspond au nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant que l’utilisateur ne soit autorisé à envoyer des commandes qui nécessitent une autorisation au TPM. Si le nombre d’échecs d’autorisation pour l’utilisateur pendant la durée définie pour le paramètre de stratégie Durée de verrouillage de l’utilisateur standard est égal à cette valeur, l’utilisateur standard ne peut pas envoyer de commandes qui nécessitent une autorisation au module de plateforme sécurisée (TPM).
Ce paramètre permet aux administrateurs d’empêcher le matériel du TPM d’entrer en mode verrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au TPM.
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation plus anciens que la durée sont ignorés.
Un administrateur ayant le mot de passe du propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage du matériel du TPM à l’aide du Centre de sécurité Windows Defender. Chaque fois qu’un administrateur réinitialise la logique de verrouillage du matériel du TPM, tous les échecs d’autorisation du TPM standard précédents sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, la valeur par défaut 4 est utilisée. La valeur zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Seuil de verrouillage total de l’utilisateur standard
Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour tous les utilisateurs standard pour le module de plateforme sécurisée (TPM). Si le nombre total d’échecs d’autorisation pour tous les utilisateurs standard pendant la durée définie pour la stratégie Durée du verrouillage de l’utilisateur standard est égal à cette valeur, tous les utilisateurs standard ne peuvent pas envoyer de commandes qui nécessitent une autorisation au module de plateforme sécurisée (TPM).
Ce paramètre permet aux administrateurs d’empêcher le matériel TPM d’entrer en mode de verrouillage, car cela ralentit la vitesse à partir de celle-ci. Les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation plus anciens que la durée sont ignorés.
Un administrateur ayant le mot de passe du propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage du matériel du TPM à l’aide du Centre de sécurité Windows Defender. Chaque fois qu’un administrateur réinitialise la logique de verrouillage du matériel du TPM, tous les échecs d’autorisation du TPM standard précédents sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, la valeur par défaut 9 est utilisée. La valeur zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Configurer le système pour utiliser les paramètres de prévention des attaques par dictionnaire hérités pour le TPM 2.0
Introduit dans Windows 10, version 1703, ce paramètre de stratégie configure le TPM pour utiliser les paramètres de prévention des attaques par dictionnaire (seuil de verrouillage et temps de récupération) sur les valeurs utilisées pour la version 1607 de Windows 10 et versions inférieures.
Important
La définition de cette stratégie ne prend effet que si :
- Le TPM a été initialement préparé à l’aide d’une version de Windows après la version 1607 de Windows 10
- Le système dispose d’un TPM 2.0.
Remarque
L’activation de cette stratégie prend effet uniquement après l’application de la tâche de maintenance du TPM (ce qui se produit généralement après un redémarrage du système). Une fois que cette stratégie a été activée sur un système et qu’elle a pris effet (après un redémarrage du système), sa désactivation n’aura aucun impact et le TPM du système reste configuré à l’aide des paramètres de prévention des attaques par dictionnaire hérités, quelle que soit la valeur de cette stratégie de groupe. Les seules façons pour que le paramètre désactivé de cette stratégie prenne effet sur un système où elle a été activée sont les deux :
- Désactiver la stratégie de groupe
- Effacer le TPM sur le système
Paramètres de stratégie de groupe TPM dans Sécurité Windows
Vous pouvez modifier ce que les utilisateurs voient sur le module TPM dans Sécurité Windows. Les paramètres de stratégie de groupe pour la zone TPM dans Sécurité Windows se trouvent sous Configuration> ordinateurModèles> d’administrationComposants> WindowsSécurité> Sécurité del’appareil Windows.
Désactiver le bouton Effacer le TPM
Si vous ne souhaitez pas que les utilisateurs puissent sélectionner le bouton Effacer le module de plateforme sécurisée dans Sécurité Windows, vous pouvez le désactiver avec ce paramètre de stratégie de groupe. Sélectionnez Activé pour rendre le bouton Effacer le TPM indisponible pour utilisation.
Masquer la recommandation de mise à jour du microprogramme du TPM
Si vous ne souhaitez pas que les utilisateurs voient la recommandation de mise à jour du microprogramme du TPM, vous pouvez le désactiver avec ce paramètre. Sélectionnez Activé pour empêcher les utilisateurs de voir une recommandation pour mettre à jour leur microprogramme de TPM lorsqu’un microprogramme vulnérable est détecté.