Principes de base du module de plateforme sécurisée (TPM)
Cette rubrique destinée aux professionnels de l’informatique décrit les composants du module de plateforme sécurisée (TPM 1.2 et TPM 2.0) et explique de quelle manière ils atténuent les attaques par dictionnaire.
Un module de plateforme sécurisée (TPM) est une puce conçue pour fournir des fonctions de sécurité de base impliquant principalement des clés de chiffrement. Le TPM est généralement installé sur la carte mère d’un ordinateur et communique avec le reste du système par l’intermédiaire d’un bus matériel.
Les ordinateurs qui intègrent un TPM peuvent créer des clés de chiffrement et les chiffrer de manière à ce qu’elles puissent uniquement être déchiffrées par le TPM. Ce processus, souvent appelé renvoi à la ligne ou liaison de clé, empêche la divulgation de la clé. Chaque TPM comporte une clé de renvoi à la ligne principale, appelée clé de racine de stockage, qui est stockée au sein même du TPM. La partie privée d’une clé racine de stockage ou d’une clé de type EK (Endorsement Key) créée dans un TPM n’est jamais exposée à aucun autre composant, logiciel, processus ou utilisateur.
Vous pouvez spécifier si les clés de chiffrement qui sont créés par le TPM peuvent être migrées ou non. Si vous spécifiez qu’elles peuvent être migrées, les parties publiques et privées de la clé peuvent être exposées à d’autres composants, logiciels, processus ou utilisateurs. Si vous spécifiez que les clés de chiffrement ne peuvent pas être migrées, la partie privée de la clé n’est jamais exposée en dehors du TPM.
Les ordinateurs qui intègrent un TPM peuvent également créer une clé de renvoi à la ligne qui est également liée à certaines mesures de plateforme. La fonction de renvoi à la ligne de ce type de clé peut être annulée uniquement lorsque ces mesures de plateforme ont les mêmes valeurs qu’au moment de la création de la clé. Ce processus est appelé « sceller la clé au TPM ». Le déchiffrement de la clé est appelé le descellement. Le TPM peut également sceller et desceller des données qui sont générées en dehors du TPM. Avec cette clé scellée et un logiciel comme le chiffrement de lecteur BitLocker, vous pouvez verrouiller des données jusqu’à ce que les conditions matérielles et logicielles requises soient remplies.
Avec un TPM, les parties privées des paires de clés sont conservées séparément de la mémoire qui est contrôlée par le système d’exploitation. Les clés peuvent être scellées au TPM et il est possible de s’assurer de l’état d’un système (pour vérifier la fiabilité d’un système) avant que les clés soient descellées et publiées pour être utilisées. Dans la mesure où le TPM utilise son propre microprogramme interne et ses propres circuits logiques pour traiter les instructions, il ne repose pas sur le système d’exploitation et il n’est pas exposé aux vulnérabilités qui peuvent exister dans le système d’exploitation ou dans le logiciel de l’application.
Pour obtenir des informations sur la prise en charge des différentes versions de TPM par les différentes versions de Windows, voir Vue d’ensemble de la technologie du module de plateforme sécurisée. Les fonctionnalités disponibles dans les versions sont définies dans les spécifications du Trusted Computing Group (TCG). Pour plus d’informations, voir la page dédiée au module de plateforme sécurisée sur le site web du Trusted Computing Group : Trusted Platform Module (en anglais).
Les sections suivantes fournissent une vue d’ensemble des technologies qui prennent en charge le TPM :
Carte à puce virtuelle basée sur le TPM
Démarrage mesuré avec prise en charge de l’attestation
Configuration et gestion du TPM automatisées
Stockage de certificats basé sur le TPM
Interface de présence physique
Applets de commande du TPM
Valeur d’autorisation du propriétaire du TPM
États de l’existence dans un TPM
Clés de type EK (Endorsement Key)
Attestation de clé de TPM
Atténuation des attaques par dictionnaire avec le TPM
Comment vérifier l’état de mon TPM ?
Que puis-je faire si mon TPM est en mode de fonctionnalités réduites ?
La rubrique suivante décrit les services du TPM pouvant être contrôlés de façon centralisée en utilisant des paramètres de stratégies de groupe :
Paramètres de stratégies de groupe des services du module de plateforme sécurisée
Configuration et gestion du TPM automatisées
Il est possible de rationaliser la configuration du TPM pour faciliter le déploiement des systèmes compatibles avec BitLocker et d’autres fonctionnalités dépendantes du TPM. Ces améliorations incluent la simplification du modèle d’état du TPM pour signaler les états Prêt, Prêt avec fonctionnalités réduites ou Non prêt. Vous pouvez également configurer automatiquement les TPM à l’état Prêt à distance, ce qui évite toute nécessité de présence physique d’un technicien pour le déploiement initial. En outre, la pile TPM est disponible dans l’environnement de préinstallation Windows (Windows PE).
Un nombre de paramètres de gestion ont été ajoutés pour faciliter la gestion et la configuration du TPM via une stratégie de groupe. Les nouveaux paramètres principaux incluent la sauvegarde de l’authentification du propriétaire du TPM basée sur Active Directory, le niveau d’authentification du propriétaire devant être stocké localement sur le TPM et les paramètres de verrouillage du TPM basé sur le logiciel pour les utilisateurs standard. Pour plus d’informations sur la sauvegarde de l’authentification du propriétaire dans les domaines AD DS Windows Server 2008 R2, voir Extensions de schéma de service de domaine AD DS pour la prise en charge de la sauvegarde du TPM.
Démarrage mesuré avec prise en charge de l’attestation
La fonctionnalité de démarrage mesuré fournit des logiciels anti-programmes malveillants qui consignent dans un journal sécurisé (sans risque d’usurpation d’identité et de falsification) tous les composants de démarrage. Les logiciels anti-programmes malveillants peuvent utiliser le journal pour déterminer si des composants s’étant exécutés au préalable sont fiables ou infectés par un programme malveillant. Il peut également envoyer les journaux de démarrage mesuré à un serveur distant pour qu’ils soient évalués. Le serveur distant peut initier des actions de correction en interagissant avec le logiciel sur le client ou via des mécanismes hors-bande, en fonction des besoins.
Carte à puce virtuelle basée sur le TPM
La carte à puce virtuelle émule les fonctionnalités des cartes à puce traditionnelles, mais elle utilise la puce TPM disponible sur les ordinateurs d’une organisation, au lieu d’une carte à puce physique et d’un lecteur distincts. Cela réduit considérablement le coût de la gestion et du déploiement des cartes à puce dans une entreprise. Pour l’utilisateur final, la carte à puce virtuelle est toujours disponible sur l’ordinateur. Si un utilisateur a besoin d’utiliser plus d’un ordinateur, une carte à puce virtuelle doit être émise à l’attention de l’utilisateur pour chaque ordinateur. Un ordinateur qui est partagé par plusieurs utilisateurs peut héberger plusieurs cartes à puce (une par utilisateur).
Stockage de certificats basé sur le TPM
Le TPM peut être utilisé pour protéger des certificats et des clés RSA. Le fournisseur de stockage de clés (KSP) du TPM fournit un moyen facile et pratique d’utiliser le TPM pour protéger efficacement les clés privées. Vous pouvez utiliser le KSP du TPM pour générer des clés lorsqu’une organisation s’inscrit pour obtenir des certificats et que le KSP est géré par des modèles dans l’interface utilisateur. Vous pouvez utiliser le TPM pour protéger les certificats importés à partir d’une source extérieure. Vous pouvez utiliser les certificats basés sur des TPM exactement comme des certificats standard, à l’exception que le certificat ne peut jamais quitter le TPM à partir duquel les clés ont été générées. Vous pouvez maintenant utiliser le TPM pour les opérations de chiffrement via une clé CNG (API Cryptography API: Next Generation). Pour plus d’informations, voir Cryptography API: Next Generation (en anglais).
Valeur d’autorisation du propriétaire du TPM
Pour Windows 8, la manière dont la valeur d’autorisation du propriétaire du TPM est stockée dans AD DS a été modifiée dans le schéma AD DS. La valeur d’autorisation du propriétaire du module de plateforme sécurisée (TPM) est maintenant stockée dans un objet distinct qui est lié à l’objet Ordinateur. Pour les schémas Windows Server 2008 R2 par défaut, cette valeur était stockée en tant que propriété dans l’objet Ordinateur lui-même. Les contrôleurs de domaine Windows Server 2012 intègrent le schéma par défaut qui permet de sauvegarder les informations d’autorisation du propriétaire du TPM dans l’objet distinct. Si vous ne mettez pas à niveau votre contrôleur de domaine vers Windows Server 2012, vous devez étendre le schéma afin de prendre en charge ce changement. Si la sauvegarde Active Directory de la valeur d’autorisation du propriétaire du TPM est activée dans un environnement Windows Server 2008 R2 sans étendre le schéma, la configuration du TPM échoue et le TPM reste dans un état Non prêt pour les ordinateurs exécutant Windows 8.
Si votre ordinateur n’est pas joint à un domaine, la valeur d’autorisation du propriétaire du TPM sera stockée dans le Registre de l’ordinateur local. L’utilisation de BitLocker pour chiffrer le lecteur du système d’exploitation permet d’éviter que la valeur d’autorisation du propriétaire soit divulguée lorsque l’ordinateur est au repos. Toutefois, il existe un risque qu’un utilisateur malveillant obtienne la valeur d’autorisation du propriétaire du TPM lors du déverrouillage de l’ordinateur. Dans ce cas, nous vous recommandons donc de configurer votre ordinateur pour qu’il se verrouille automatiquement après 30 secondes d’inactivité. Si vous n’utilisez pas le verrouillage automatique, nous vous conseillons de retirer l’autorisation complète du propriétaire du Registre de l’ordinateur.
Informations sur le Registre
Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD : OSManagedAuthLevel
| Données de valeur | Paramètre |
|---|---|
0 |
Aucun |
2 |
Délégué |
4 |
Complet |
Remarque
Si le paramètre d’authentification du TPM géré par le système d’exploitation passe de « Complet » à « Délégué », la valeur d’autorisation complète du propriétaire du TPM sera régénérée et toutes les copies de la valeur d’autorisation du propriétaire du TPM d’origine seront non valides. Si vous sauvegardez la valeur d’autorisation du propriétaire du TPM dans les services de domaine AD DS, la nouvelle valeur d’autorisation du propriétaire sera automatiquement sauvegardée dans AD DS lorsqu’elle sera modifiée.
Applets de commande du TPM
Si vous utilisez PowerShell pour créer des scripts gérer vos ordinateurs, vous pouvez également gérer le TPM à l’aide de Windows PowerShell. Pour installer les applets de commande du TPM, utilisez la commande suivante :
dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
Pour plus d’informations sur chaque applet de commande, voir Applets de commande de module de plateforme sécurisée (TPM) dans Windows PowerShell
Interface de présence physique
Les spécifications TCG relatives aux TPM exigent une présence physique pour effectuer certaines opérations d’administration du TPM, comme leur activation et leur désactivation. Un présence physique implique qu’une personne doit physiquement interagir avec le système et l’interface du TPM pour confirmer ou refuser les modifications apportées à l’état du TPM. Il n’est généralement pas possible d’automatiser ces opérations à l’aide de scripts ou d’autres outils d’automation, sauf si le fabricant OEM les fournit. Voici quelques exemples de tâches d’administration du TPM nécessitant une présence physique :
- Activer le TPM
- Effacer les informations existantes sur le propriétaire du TPM sans le mot de passe du propriétaire
- Inactiver le TPM
- Désactiver le TPM temporairement sans le mot de passe du propriétaire
États de l’existence dans un TPM
Pour chacun des états d’existence du TPM 1.2, le TPM peut basculer vers un autre état (par exemple, passer de la désactivation à l’activation). Les états ne sont pas exclusifs.
Ces états d’existence ne s’appliquent pas au module de plateforme sécurisée 2.0, qui ne peut pas être désactivé dans l’environnement de système d’exploitation.
| État | Description |
|---|---|
Activé |
La plupart des fonctionnalités du TPM sont disponibles. Le TPM peut être activé et désactivé plusieurs fois au cours d’une période de démarrage, si la propriété est acquise. |
Désactivé |
Le TPM limite la plupart des opérations. Les exceptions comprennent la capacité de signaler les fonctionnalités du TPM, d’étendre et de réinitialiser les fonctions du registre de configuration de plateforme (PCR) et de procéder au hachage et à l’initialisation de base. Le TPM peut être activé et désactivé plusieurs fois au cours d’une période de démarrage. |
Actif |
La plupart des fonctionnalités du TPM sont disponibles. Le TPM peut être actif et inactif uniquement par le biais d’une présence physique, ce qui nécessite un redémarrage. |
Inactif |
Similaire à l’état Désactivé, excepté que la propriété peut être acquise lorsque le TPM est inactif et activé. Le TPM peut être actif et inactif uniquement par le biais d’une présence physique, ce qui nécessite un redémarrage. |
Acquis |
La plupart des fonctionnalités du TPM sont disponibles. Le TPM comporte une clé de type EK (Endorsement Key) et une clé racine de stockage, et le propriétaire connaît les informations sur les données d’autorisation du propriétaire. |
Non acquis |
Le TPM ne comporte pas de clé racine de stockage, et il peut ou non comporter une clé de type EK (Endorsement Key). |
Important
Les applications ne peuvent pas utiliser le TPM tant que l’état n’est pas activé, actif et acquis. Toutes les opérations sont disponibles uniquement lorsque le TPM est dans cet état.
L'état du TPM existe indépendamment du système d’exploitation de l’ordinateur. Lorsque le TPM est activé, actif et acquis, l’état du TPM est conservé si le système d’exploitation est réinstallé.
Clés de type EK (Endorsement Key)
Pour qu’un TPM soit utilisable par une application approuvée, il doit contenir une clé de type EK (Endorsement Key) qui est une paire de clés RSA. La partie privée de la paire de clés est conservée à l’intérieur du TPM, et elle n’est jamais révélée ni accessible en dehors du TPM. Si le TPM ne contient pas une clé de type EK (Endorsement Key), l’application le force à en générer une automatiquement dans le cadre de l’installation.
Une clé de type EK peut être créée à différents stades du cycle de vie du TPM, mais elle doit être créée une seule fois pour toute la durée de vie du TPM. L’existence d’une clé de type EK est une condition préalable à l’acquisition de la propriété du TPM.
Attestation de clé
Une attestation de clé TPM permet à une autorité de certification de vérifier qu’une clé privée est réellement protégée par un TPM et que ce TPM est approuvé par l’autorité de certification. Les clés de type EK dont la validité a été prouvée peuvent être utilisées pour lier l’identité de l’utilisateur à un appareil. En outre, un certificat d’utilisateur avec une clé TPM approuvée offre une meilleure garantie de sécurité en raison des fonctionnalités particulières des clés fournies par un TPM (non-exportabilité, anti-martèlement et isolement).
Atténuation des attaques par dictionnaire avec le TPM
Lorsqu’un TPM traite une commande, il le fait dans un environnement protégé, par exemple un microcontrôleur dédié sur une puce distincte ou un mode spécial protégé par le matériel sur le processeur principal. Vous pouvez utiliser un TPM pour créer une clé de chiffrement qui n’est pas divulguée en dehors du TPM, mais qui peut être utilisée dans le TPM après que la valeur d’autorisation correcte a été fournie.
Les TPM comportent une logique de protection contre les attaques par dictionnaire conçue pour empêcher les attaques en force brute qui tentent de déterminer les valeurs d’autorisation pour utiliser une clé. Dans l’approche de base, le TPM autorise seulement un nombre limité d’échecs d’autorisation avant d’empêcher les tentatives supplémentaires d’utiliser les clés et les verrous. La définition d’un nombre d’échecs pour des clés individuelles n’est pas pratique sur le plan technique, et les TPM sont donc globalement verrouillés lorsque les échecs d’autorisation successifs sont trop nombreux.
Dans la mesure où de nombreuses entités peuvent utiliser le TPM, une seule autorisation réussie ne peut pas réinitialiser la logique de protection contre les attaques par dictionnaire du TPM. Ainsi, aucune personne malveillante ne peut créer une clé avec une valeur d’autorisation connue, puis l’utiliser pour réinitialiser la logique de protection contre les attaques par dictionnaire du TPM. Généralement, les TPM sont conçus pour oublier les échecs d’autorisation après un certain délai afin d’éviter que les TPM entrent inutilement en état de verrouillage. Vous pouvez utiliser un mot de passe de propriétaire de TPM pour réinitialiser la logique de verrouillage du TPM.
Comportement de protection contre les attaques par dictionnaire du TPM 2.0
TPM 2.0 a un comportement de logique de protection contre les attaques par dictionnaire bien défini. En cela il diffère de TPM 1.2, dont la logique de protection contre les attaques par dictionnaire était définie par le fabricant et variait donc largement dans le secteur.
Avertissement
Dans le cadre de cette rubrique, le matériel certifié pour Windows 8 l’est également pour les systèmes Windows 8.1. Les références suivantes à « Windows » indiquent les versions de Windows prises en charge.
Pour les systèmes matériels certifiés pour Windows 8 avec TPM 2.0, le TPM est configuré par Windows pour se verrouiller après 32 échecs d’autorisation et oublier un échec d’autorisation toutes les deux heures. Cela signifie qu’un utilisateur peut tenter d’utiliser une clé avec une valeur d’autorisation incorrecte 32 fois. Pour chacune de ces 32 tentatives, le TPM enregistre si la valeur d’autorisation a été correcte ou non. Le TPM entre ainsi dans un état de verrouillage après 32 tentatives infructueuses.
Les tentatives d’utilisation d’une clé avec une valeur d’autorisation pendant les deux heures suivantes ne sont considérées ni comme un échec ni comme une réussite ; à la place, un message indique que le TPM est verrouillé. Après deux heures, un échec d’autorisation est oublié et le nombre d’échecs d’autorisation mémorisés par le TPM chute à 31, de sorte que le TPM sorte de l’état de verrouillage et reprend un fonctionnement normal. Avec la valeur d’autorisation correcte, il est possible d’utiliser les clés normalement si aucun échec d’autorisation ne se produit pendant les deux heures suivantes. Si une période de 64 heures s’écoule sans nouvel échec d’autorisation, le TPM oublie les échecs d’autorisation et 32 tentatives infructueuses peuvent à nouveau avoir lieu.
La certification Windows 8 ne nécessite pas que les systèmes TPM 2.0 oublient les échecs d’autorisation lorsque le système est totalement mis hors tension ou est mis en veille prolongée. Windows exige que les échecs d’autorisation soient oubliés lorsque le système s’exécute normalement, en mode veille ou dans des modes d’économie d’énergie autres que la mise hors tension. Si un système Windows avec TPM 2.0 est verrouillé, le TPM quitte le mode de verrouillage lorsque le système reste sous tension pendant deux heures.
La logique de protection contre les attaques par dictionnaire de TPM 2.0 peut être entièrement réinitialisée immédiatement après l’envoi d’une commande de verrouillage réinitialisé au TPM et la saisie du mot de passe du propriétaire du TPM. Par défaut, Windows configure automatiquement TPM 2.0 et stocke le mot de passe du propriétaire du TPM pour qu’il soit utilisé par les administrateurs système.
Dans certains environnements d’entreprise, la valeur d’autorisation du propriétaire du TPM est configurée pour être stockée de façon centralisée dans Active Directory, et elle n’est pas stockée sur le système local. Un administrateur peut lancer la console MMC du TPM et choisir de réinitialiser la durée de verrouillage du TPM. Si le mot de passe du propriétaire du TPM est stocké localement, il est utilisé pour réinitialiser la durée de verrouillage. Si le mot de passe du propriétaire du TPM n’est pas disponible sur le système local, l’administrateur doit le saisir. Si un administrateur tente de réinitialiser l’état de verrouillage du TPM avec un mot de passe de propriétaire du TPM incorrect, le TPM n’autorise pas de tentative supplémentaire de réinitialiser l’état de verrouillage pendant 24 heures.
TPM 2.0 permet de créer des clés sans qu’une valeur d’autorisation leur soit associée. Ces clés peuvent être utilisées lorsque le TPM est verrouillé. Par exemple, lorsque BitLocker est configuré sur TPM uniquement par défaut, il peut utiliser une clé dans le TPM pour démarrer Windows, même lorsque le TPM est verrouillé.
Raisonnement relatif aux valeurs par défaut de Windows 8.1 et Windows 8
Windows repose sur la protection contre les attaques par dictionnaire de TPM 2.0 pour plusieurs fonctionnalités. Les valeurs par défaut qui sont sélectionnées pour Windows 8 permettent de s’adapter à différentes situations.
Par exemple, lorsque BitLocker est utilisé avec TPM et une configuration de code confidentiel, le nombre de propositions de code confidentiel doit être limité dans la durée. En cas de perte de l’ordinateur, une personne ne pourrait faire que 32 propositions de code confidentiel immédiatement, puis une proposition supplémentaire toutes les deux heures. Cela équivaut à un total d’environ 4 415 propositions par an. Ce chiffre peut servir de référence aux administrateurs système pour déterminer le nombre de caractères du code confidentiel à utiliser pour les déploiements BitLocker.
La carte à puce Windows basée sur le TPM, qui est une carte à puce virtuelle, peut être configurée pour autoriser la connexion au système. Contrairement aux cartes à puce physiques, le processus de connexion utilise une clé basée sur le TPM avec une valeur d’autorisation. La liste suivante présente les avantages des cartes à puce virtuelles :
Les cartes à puce physiques peuvent appliquer un verrouillage pour le code PIN de la carte à puce physique seulement , et ils peuvent réinitialiser le verrouillage une fois le code PIN correct saisi. Avec une carte à puce virtuelle, l’attaque par dictionnaire du TPM n’est pas réinitialisée après une authentification réussie. Le nombre d’échecs d’autorisation autorisé avant le verrouillage du TPM repose sur de nombreux facteurs.
Les fabricants de matériel et les développeurs de logiciels peuvent utiliser les fonctionnalités de sécurité du TPM pour satisfaire leurs exigences.
Il est rare que le seuil des 32 échecs soit atteint par les utilisateurs et que ces derniers verrouillent le TPM (même lorsqu’ils apprennent à saisir de nouveaux mots de passe ou qu’ils verrouillent et déverrouillent fréquemment leurs ordinateurs). Si les utilisateurs verrouillent le TPM, ils doivent attendre deux heures ou utiliser d’autres informations d’identification pour se connecter, comme un nom d’utilisateur et un mot de passe.
Comment vérifier l’état de mon TPM ?
Vous pouvez vérifier l’état du TPM sur un PC en exécutant le composant logiciel enfichable du module de plateforme sécurisée (tpm.msc). Le titre État vous indique l’état de votre TPM. Le TPM peut être dans l’un des états suivants : Prêt à être utilisé, Prêt à être utilisé, avec des fonctionnalités réduiteset Non prêt à être utilisé. Pour tirer parti de la plupart des fonctionnalités du TPM dans Windows 10, le TPM doit être Prêt à être utilisé.
Que puis-je faire si mon TPM est en mode de fonctionnalités réduites ?
Si votre TPM est en mode de fonctionnalités réduites, certaines fonctionnalités reposant sur le TPM ne fonctionneront pas correctement. Cela se produit souvent lorsque vous effectuez une installation propre de Windows 10 sur un appareil alors que Windows 8.1, Windows 8 ou Windows 7 a déjà été installé sur le même matériel. Si votre TPM est en mode de fonctionnalités réduites, dans le composant logiciel enfichable du module de plateforme sécurisée, le titre État indique Le module de plateforme sécurisée (TPM) est prêt à être utilisé, avec des fonctionnalités réduites. Vous pouvez résoudre ce problème en effaçant le TPM.
.gif "Mt431890.wedge(fr-fr,VS.85).gif")
Pour effacer le TPM
Ouvrez le composant logiciel enfichable Module de plateforme sécurisée (tpm.msc).
Cliquez sur Effacer le module de plateforme sécurisée (TPM), puis sur Redémarrer.
Pendant le redémarrage du PC, vous pouvez être invité à appuyer sur un bouton du clavier pour effacer le TPM.
Après le redémarrage du PC, votre TPM est automatiquement préparé pour être utilisé par Windows 10.
Remarque
Lors de l’effacement du TPM, vous perdez toutes les clés du TPM et les données protégées par ces clés, comme une carte à puce virtuelle. Vous ne devez pas effectuer cette procédure sur un appareil qui ne vous appartient pas, par exemple un PC de travail ou d’établissement scolaire, sans y avoir été invité par votre administrateur informatique.
Ressources supplémentaires
Vue d’ensemble de la technologie du module de plateforme sécurisée
Paramètres de stratégies de groupe des services du module de plateforme sécurisée
Applets de commande du module de plateforme sécurisée (TPM) dans Windows PowerShell
Préparer votre organisation pour BitLocker : Planification et stratégies - Configurations du TPM