Paramètres des stratégies de groupe du module de plateforme sécurisée (TPM)
Cette rubrique destinée aux professionnels de l’informatique présente les services du module de plateforme sécurisée (TPM) qui peuvent être contrôlés de façon centralisée en utilisant les paramètres de stratégie de groupe.
Les paramètres de stratégies de groupe du TPM se trouvent sous :
Computer Configuration\Administrative Templates\System\Trusted Platform Module Services\
| Paramètre | Windows 10 | Windows Server 2012 R2, Windows 8.1 et Windows RT | Windows Server 2012 R2, Windows 8 et Windows RT | Windows Server 2008 R2 et Windows 7 | Windows Server 2008 et Windows Vista |
|---|---|---|---|---|---|
Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory |
X |
X |
X |
X |
X |
Configurer la liste des commandes de module de plateforme sécurisée bloquées |
X |
X |
X |
X |
X |
Ignorer la liste par défaut des commandes de module de plateforme sécurisée bloquées |
X |
X |
X |
X |
X |
Ignorer la liste locale des commandes de module de plateforme sécurisée bloquées |
X |
X |
X |
X |
X |
Configurer le niveau des informations d’autorisation du module de plateforme sécurisée (TPM) accessibles au système d’exploitation |
X |
X |
X |
||
Durée de verrouillage d’utilisateur standard |
X |
X |
X |
||
Seuil de verrouillage individuel d’utilisateur standard |
X |
X |
X |
||
Seuil de verrouillage total pour l’utilisateur standard |
X |
X |
X |
Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory
Ce paramètre de stratégie vous permet de gérer la sauvegarde des informations sur le propriétaire du TPM dans les services de domaine Active Directory (AD DS).
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriées dans la table de version.
Les informations sur le propriétaire du module de plateforme sécurisée (TPM) incluent un hachage de chiffrement du mot de passe du propriétaire du TPM. Certaines commandes du TPM peuvent être exécutées seulement par le propriétaire du TPM. Ce hachage autorise le TPM à exécuter ces commandes.
Important
Pour sauvegarder les informations sur le propriétaire du TPM à partir d’un ordinateur exécutant Windows 10, Windows 8.1 ou Windows 8, vous devrez peut-être d’abord configurer des extensions de schéma appropriées et accéder aux paramètres de contrôle sur le domaine pour que la sauvegarde dans AD DS aboutisse. Windows Server 2012 R2 et Windows Server 2012 incluent les extensions de schéma requises par défaut. Pour plus d’informations, voir Extensions de schéma de service de domaine AD DS pour la prise en charge de la sauvegarde du TPM.
Vous devez d’abord définir un propriétaire pour pouvoir utiliser le TPM pour fournir des fonctionnalités de sécurité améliorées du chiffrement de lecteur BitLocker et d’autres applications Pour vous approprier le TPM avec un mot de passe de propriétaire, sur un ordinateur local, à l’invite de commande, tapez tpm.msc pour ouvrir la Console de gestion du TPM, puis sélectionnez l’action pour Initialiser le module de plateforme sécurisée. Si les informations sur le propriétaire du TPM sont perdues ou non disponibles, une gestion limitée du TPM est possible en exécutant tpm.msc.
Si vous activez ce paramètre de stratégie, les informations sur le propriétaire du TPM seront automatiquement et silencieusement sauvegardées dans les services de domaine AD DS lorsque vous utilisez Windows pour définir ou modifier un mot de passe de propriétaire du TPM. Lorsque ce paramètre de stratégie est activé, le mot de passe de propriétaire du TPM ne peut pas être défini ou modifié, sauf si l’ordinateur est connecté au domaine et que la sauvegarde dans AD DS aboutit.
Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, les informations sur le propriétaire du TPM ne seront pas sauvegardées dans AD DS.
Configurer la liste des commandes de module de plateforme sécurisée bloquées
Ce paramètre de stratégie vous permet de gérer la liste des stratégies de groupe des commandes du module de plateforme sécurisée (TPM) qui sont bloquées par Windows.
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
Si vous activez ce paramètre de stratégie, Windows n’empêchera pas l’envoi des commandes spécifiées vers le TPM sur l’ordinateur. Les commandes du TPM sont référencées par un numéro de commande. Par exemple, le numéro de commandes 129 est TPM_OwnerReadInternalPub et le numéro de commande 170 est TPM_FieldUpgrade. Pour trouver le numéro de commande associé à chaque commande de TPM, à l'invite de commandes, tapez tpm.mscpour ouvrir la Console de gestion TPM et accéder à la section Gestion des commandes.
Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, seules les commandes TPM spécifiées par le biais des listes locales ou par défaut peuvent être bloquées par Windows. La liste par défaut des commandes TPM bloquées est préconfigurée par Windows.
Vous pouvez afficher la liste par défaut en tapant tpm.msc à l’invite de commandes, en accédant à la section Gestion des commandes et en exposant la colonne Sur la liste de blocage par défaut.
La liste locale des commandes TPM bloquée est configurée en dehors de la stratégie de groupe en exécutant la Console de gestion du TPM ou en créant des scripts à l’aide de l’interface Win32_Tpm.
Pour savoir comment appliquer ou ignorer les listes locales et par défaut des commandes TPM bloquées, voir
Ignorer la liste par défaut des commandes de module de plateforme sécurisée bloquées
Ignorer la liste locale des commandes de module de plateforme sécurisée bloquées
Ignorer la liste par défaut des commandes de module de plateforme sécurisée bloquées
Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste par défaut des commandes du module de plateforme sécurisée (TPM) sur l’ordinateur.
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
La liste par défaut des commandes TPM bloquées est préconfigurée par Windows. Vous pouvez afficher la liste par défaut en tapant tpm.msc à l’invite de commandes pour ouvrir la Console de gestion du TPM, en accédant à la section Gestion des commandes et en exposant la colonne Sur la liste de blocage par défaut. Voir également le paramètre de stratégie associé, Configurer la liste des commandes de module de plateforme sécurisée bloquées.
Si vous activez ce paramètre de stratégie, le système d’exploitation Windows ignorera la liste par défaut des commandes bloquées sur l’ordinateur, et bloquera uniquement les commandes TPM spécifiées par la stratégie de groupe ou la liste locale.
Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, Windows bloquera les commandes TPM dans la liste par défaut, en plus des commandes spécifiées par la stratégie de groupe et la liste locale des commandes TPM bloquées.
Ignorer la liste locale des commandes de module de plateforme sécurisée bloquées
Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste locale des commandes du module de plateforme sécurisée (TPM) sur l’ordinateur.
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
La liste locale des commandes TPM bloquées est configurée en dehors de la stratégie de groupe en tapant tpm.msc à l’invite de commandes pour ouvrir la Console de gestion du TPM ou en créant des scripts à l’aide de l’interface Win32_Tpm. (La liste par défaut des commandes TPM bloquées est préconfigurée par Windows.) Voir également le paramètre de stratégie associé pour Configurer la liste des commandes de module de plateforme sécurisée bloquées.
Si vous activez ce paramètre de stratégie, le système d’exploitation Windows ignorera la liste locale des commandes bloquées sur l’ordinateur, et bloquera uniquement les commandes TPM spécifiées par la stratégie de groupe ou la liste par défaut.
Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, Windows bloquera les commandes TPM dans la liste locale, en plus des commandes spécifiées dans la stratégie de groupe et la liste par défaut des commandes TPM bloquées.
Configurer le niveau des informations d’autorisation du module de plateforme sécurisée (TPM) accessibles au système d’exploitation
Ce paramètre de stratégie configure la quantité d’informations d’autorisation du propriétaire du TPM stockées dans le Registre de l’ordinateur local. Selon la quantité d’informations d’autorisation du propriétaire du TPM stockées localement, le système d’exploitation Windows et les applications basées sur le TPM peuvent effectuer certaines actions dans le TPM qui nécessitent l’autorisation du propriétaire du TPM sans obliger l’utilisateur à entrer le mot de passe de propriétaire du TPM.
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
Il y a trois paramètres d’authentification du propriétaire du TPM qui sont gérés par le système d’exploitation Windows. Vous pouvez choisir une valeur Complet, Délégué ou Aucun.
Complet Ce paramètre stocke l’autorisation complète du propriétaire du TPM, l’objet BLOB de délégation administrative du TPM et l’objet BLOB de délégation d’utilisateur du TPM dans le Registre local. Avec ce paramètre, vous pouvez utiliser le TPM sans nécessiter de stockage distant ou externe de la valeur d’autorisation du propriétaire du TPM. Ce paramètre est approprié pour les scénarios qui ne nécessitent pas de réinitialiser la logique anti-martèlement du TPM ou de modifier la valeur d’autorisation du propriétaire du TPM. Certaines applications basées sur le TPM nécessitent que ce paramètre soit modifié avant d’utiliser les fonctionnalités qui dépendent de la logique anti-martèlement.
Délégué Ce paramètre stocke l’autorisation complète du propriétaire du TPM, l’objet BLOB de délégation administrative du TPM et l’objet BLOB de délégation d’utilisateur du TPM dans le Registre local. Ce paramètre est approprié pour une utilisation avec des applications basées sur TPM qui dépendent de la logique anti-martèlement du TPM. Lorsque vous utilisez ce paramètre, nous recommandons l’utilisation d’un stockage externe ou à distance de la valeur complète d’autorisation du propriétaire du TPM, par exemple la sauvegarde de la valeur dans les services de domaine Active Directory (AD DS).
Aucun Ce paramètre assure la compatibilité avec les applications et systèmes d’exploitation antérieurs. Vous pouvez également l’utiliser pour les situations dans lesquelles l’autorisation du propriétaire du TPM ne peut pas être stockée localement. L’utilisation de ce paramètre peut entraîner des problèmes avec certaines applications basées sur le TPM.
Remarque
Si le paramètre d’authentification du TPM géré par le système d’exploitation passe de Complet à Délégué, la valeur d’autorisation complète du propriétaire du TPM sera régénérée et toutes les copies de la valeur d’autorisation du propriétaire du TPM définie précédemment seront non valides. Si vous sauvegardez la valeur d’autorisation du propriétaire du TPM dans les services de domaine AD DS, la nouvelle valeur d’autorisation du propriétaire est automatiquement sauvegardée dans AD DS lorsqu’elle est modifiée.
Informations sur le Registre
Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD : OSManagedAuthLevel
Le tableau suivant présente les valeurs d’autorisation du propriétaire du TPM dans le Registre.
| Données de valeur | Paramètre |
|---|---|
0 |
Aucun |
2 |
Délégué |
4 |
Complet |
Si vous activez ce paramètre de stratégie, le système d’exploitation Windows stockera l’autorisation du propriétaire du TPM dans le Registre de l’ordinateur local en fonction du paramètre d’authentification du TPM choisi.
Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, et si le paramètre de stratégie Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory est également désactivé ou non configuré, le paramètre par défaut stocke la valeur complète d’autorisation du TPM dans le Registre local. Si cette stratégie est désactivée ou non configurée, et si le paramètre de stratégie Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory est activé, seuls les objets BLOB de délégation d’administration et de délégation d’utilisateur sont stockés dans le Registre local.
Durée de verrouillage d’utilisateur standard
Ce paramètre de stratégie vous permet de gérer la durée en minutes de prise en compte des échecs d’autorisation d’utilisateur standard pour les commandes de module de plateforme sécurisée (TPM) nécessitant une autorisation. Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation antérieurs à la durée définie sont ignorés. Si le nombre de commandes TPM avec un échec d’autorisation compris dans la durée de verrouillage est égal à un seuil, l’utilisateur standard ne peut pas envoyer de commandes nécessitant une autorisation au TPM.
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
Le TPM est conçu pour se protéger contre les tentatives de déchiffrement du mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes ayant une valeur d’autorisation incorrecte. Lorsque le TPM entre un mode de verrouillage, cet état s’applique à tous les utilisateurs (y compris les administrateurs) et aux fonctionnalités Windows telles que le chiffrement de lecteur BitLocker.
Le nombre d’échecs d’autorisation toléré par un TPM et la durée du verrouillage varient selon le fabricant du TPM. Certains TPM peuvent entrer en mode de verrouillage pour des durées de plus en plus longues et des quantités d’échecs d’autorisation inférieures, selon les échecs antérieurs. Certains TPM peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres TPM peuvent nécessiter que le système soit allumé pour que le nombre de cycles d’horloge écoulés avant que le TPM quitte le mode de verrouillage soit suffisant.
Ce paramètre permet aux administrateurs d’éviter que le matériel TPM entre en mode de déverrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes qui requièrent une autorisation au TPM.
Pour chaque utilisateur standard, deux seuils s’appliquent. Si l’un des seuils est dépassé, l’utilisateur ne peut pas envoyer une commande qui nécessite une autorisation au TPM. Utilisez les paramètres de stratégie suivants pour définir la durée de verrouillage :
Seuil individuel de verrouillage pour l’utilisateur standard Cette valeur est le nombre maximum d’échecs d’autorisation auquel chaque utilisateur standard a le droit avant de ne plus être autorisé à envoyer des commandes nécessitant une autorisation au TPM.
Seuil de verrouillage total pour l’utilisateur standard Cette valeur est le nombre maximum d’échecs d’autorisation auquel chaque utilisateur standard a le droit avant de ne plus pouvoir envoyer des commandes nécessitant une autorisation au TPM.
Un administrateur avec le mot de passe de propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage matériel du TPM à l’aide de la Console de gestion du TPM (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du TPM, tous les échecs préalables d’autorisation du TPM de l’utilisateur standard sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, une valeur par défaut de 480 minutes (8 heures) est utilisée.
Seuil de verrouillage individuel d’utilisateur standard
Ce paramètre de stratégie vous permet de gérer le nombre maximum d’échecs d’autorisation pour chaque utilisateur standard du module de plateforme sécurisée (TPM). Cette valeur correspond au nombre maximum d’échecs d’autorisation que chaque utilisateur standard peut atteindre avant de ne plus être autorisé à envoyer de commandes nécessitant une autorisation au TPM. Si le nombre d’échecs d’autorisation de l’utilisateur pendant la durée définie pour le paramètre de stratégie Durée de verrouillage pour l’utilisateur standard équivaut à cette valeur, l’utilisateur standard ne peut plus envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
Ce paramètre permet aux administrateurs d’éviter que le matériel TPM entre en mode de déverrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes qui requièrent une autorisation au TPM.
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation antérieurs à la durée sont ignorés.
Un administrateur avec le mot de passe de propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage matériel du TPM à l’aide de la Console de gestion du TPM (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du TPM, tous les échecs préalables d’autorisation du TPM de l’utilisateur standard sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, la valeur par défaut 4 est utilisée. Une valeur égale à zéro signifie que le système d’exploitation ne permettra pas aux utilisateurs standard d’envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Seuil de verrouillage total pour l’utilisateur standard
Ce paramètre de stratégie vous permet de gérer le nombre maximum d’échecs d’autorisation pour tous les utilisateurs standard du module de plateforme sécurisée (TPM). Si le nombre total d’échecs d’autorisation de tous les utilisateurs standard pendant la durée définie pour le paramètre de stratégie Durée de verrouillage pour l’utilisateur standard équivaut à cette valeur, tous les utilisateurs standard ne peuvent plus envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Remarque
Ce paramètre de stratégie s’applique aux systèmes d’exploitation Windows répertoriés dans la table de version.
Ce paramètre permet aux administrateurs d’éviter que le matériel TPM entre en mode de déverrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au TPM.
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation antérieurs à la durée sont ignorés.
Pour chaque utilisateur standard, deux seuils s’appliquent. Si l’un des seuils est dépassé, l’utilisateur standard ne pourra pas envoyer une commande nécessitant une autorisation au TPM.
La valeur individuelle de verrouillage pour l’utilisateur standard est le nombre maximum d’échecs d’autorisation auquel chaque utilisateur standard a le droit avant de ne plus être autorisé à envoyer des commandes nécessitant une autorisation au TPM.
La valeur de seuil de verrouillage total pour l’utilisateur standard est le nombre maximum d’échecs d’autorisation auquel tous les utilisateurs standard ont le droit avant de ne plus pouvoir envoyer des commandes nécessitant une autorisation au TPM.
Le TPM est conçu pour se protéger contre les tentatives de déchiffrement du mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes ayant une valeur d’autorisation incorrecte. Lorsque le TPM entre un mode de verrouillage, cet état s’applique à tous les utilisateurs (y compris les administrateurs) et aux fonctionnalités Windows telles que le chiffrement de lecteur BitLocker.
Le nombre d’échecs d’autorisation toléré par un TPM et la durée du verrouillage varient selon le fabricant du TPM. Certains TPM peuvent entrer en mode de verrouillage pour des durées de plus en plus longues et des quantités d’échecs d’autorisation inférieures, selon les échecs antérieurs. Certains TPM peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres TPM peuvent nécessiter que le système soit allumé pour que le nombre de cycles d’horloge écoulés avant que le TPM quitte le mode de verrouillage soit suffisant.
Un administrateur avec le mot de passe de propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage matériel du TPM à l’aide de la Console de gestion du TPM (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du TPM, tous les échecs préalables d’autorisation du TPM de l’utilisateur standard sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, la valeur par défaut 9 est utilisée. Une valeur égale à zéro signifie que le système d’exploitation ne permettra pas aux utilisateurs standard d’envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Ressources supplémentaires
Vue d’ensemble de la technologie du module de plateforme sécurisée
Applets de commande du module de plateforme sécurisée (TPM) dans Windows PowerShell
Préparer votre organisation pour BitLocker : Planification et stratégies - Configurations du TPM