Vue d’ensemble de la technologie du module de plateforme sécurisée
Cette rubrique destinée aux professionnels de l’informatique décrit le module de plateforme sécurisée (TPM) et la façon dont Windows l’utilise pour l’authentification et le contrôle d’accès. La rubrique contient des liens vers d’autres ressources sur le TPM.
Description des fonctionnalités
La technologie du module de plateforme sécurisée (TPM) est conçue pour fournir des fonctions liées à la sécurité reposant sur le matériel. Une puce TPM est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Les principaux avantages de l’utilisation de la technologie TPM sont principalement que vous pouvez :
générer, stocker et limiter l’utilisation des clés de chiffrement ;
utiliser la technologie TPM pour l’authentification des appareils de la plateforme à l’aide de la clé RSA unique du TPM, qui est gravée sur elle-même ;
garantir l’intégrité de la plateforme en réalisant et en stockant des mesures sur la sécurité.
Les fonctions TPM les plus courantes sont utilisées pour les mesures de l’intégrité du système et pour la création et l’utilisation de clés. Au cours du processus de démarrage d’un système, le code de démarrage chargé (y compris le microprogramme et les composants du système d’exploitation) peut être mesuré et enregistré dans le TPM. Les mesures de l’intégrité servent de preuve de démarrage d’un système et vous garantissent qu’une clé reposant sur un TPM a été utilisée uniquement lorsque le logiciel approprié a été utilisé pour démarrer le système.
Les clés reposant sur un TPM peuvent être configurées de différentes manières. Vous pouvez par exemple rendre une clé reposant sur un TPM inaccessible en dehors du TPM. Il est important de limiter les attaques par hameçonnage car cela évite que la clé soit copiée et utilisée sans le TPM. Les clés reposant sur un TPM peuvent également être configurées pour exiger une valeur d’autorisation au moment de les utiliser. Si les propositions d’autorisation incorrectes sont trop nombreuses, le TPM active sa logique d’attaque par dictionnaire et empêche toute proposition de valeur d’autorisation supplémentaire.
Différentes versions du TPM sont définies dans les spécifications par le Trusted Computing Group (TCG). Pour plus d’informations, consultez le site web du TCG (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).
Windows peut automatiquement configurer et gérer le TPM. Vous pouvez configurer les paramètres de stratégie de groupe pour contrôler si la valeur d’autorisation du propriétaire du TPM est sauvegardée dans Active Directory. Étant donné que l’état du TPM est persistant dans toutes les installations de système d’exploitation, les informations du TPM sont stockées dans un emplacement d’Active Directory distinct de celui des objets Ordinateur. En fonction des objectifs de sécurité d’une entreprise, la stratégie de groupe peut être configurée pour autoriser ou empêcher les administrateurs locaux de réinitialiser la logique d’attaque par dictionnaire du TPM. Les utilisateurs standard peuvent utiliser le TPM, mais les contrôles de stratégie de groupe limitent le nombre d’échecs d’autorisation des utilisateurs standard pour éviter qu’un utilisateur empêche les autres utilisateurs ou l’administrateur d’utiliser le TPM. La technologie TPM peut également être utilisée comme carte à puce virtuelle et pour le stockage sécurisé de certificats. Avec le déverrouillage réseau BitLocker, les ordinateurs joints au domaine ne sont pas invités à entrer un code confidentiel BitLocker.
Cas pratiques
Vous pouvez installer des certificats ou les créer sur les ordinateurs qui utilisent le TPM. Lorsque vous configurez un ordinateur, la clé privée RSA du certificat est liée au TPM et ne peut pas être exportée. Vous pouvez également utiliser le TPM en remplacement des cartes à puce, pour réduire les coûts associés à la création et à la distribution des cartes à puce.
L’approvisionnement automatisé dans le TPM réduit le coût de déploiement du TPM dans une entreprise. Les nouvelles API de gestion du TPM peuvent déterminer si les actions d’approvisionnement du TPM nécessitent la présence physique d’un technicien qui approuve les demandes de modification d’état du TPM pendant le processus de démarrage.
Les logiciels anti-programmes malveillants peuvent utiliser les mesures de l’état de démarrage du système d’exploitation pour apporter la preuve de l’intégrité d’un ordinateur exécutant Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 ou Windows Server 2012. Ces mesures incluent le lancement d’un Hyper-V pour s’assurer que les centres de données utilisant la virtualisation n’exécutent pas des hyperviseurs non fiables. Le déverrouillage réseau BitLocker permet aux administrateurs informatiques de lancer une mise à jour sans avoir à se préoccuper de la nécessité éventuelle de saisir un code confidentiel sur un ordinateur.
Le TPM comporte plusieurs paramètres de stratégies de groupe qui permettent de gérer son utilisation. Vous pouvez ainsi gérer la valeur d’autorisation du propriétaire, les commandes TPM bloquées, le verrouillage de l’utilisateur standard et la sauvegarde du TPM sur AD DS. Pour plus d’informations, voir Paramètres des stratégies de groupe des services du module de plateforme sécurisée.
Fonctionnalités nouvelles et modifiées
Pour plus d’informations sur les fonctionnalités nouvelles et modifiées dans le module de plateforme sécurisée dans Windows 10, voir Nouveautés dans le module de plateforme sécurisée.
Attestation d’intégrité des appareils
L’attestation d’intégrité des appareils permet aux entreprises d’être parfaitement confiantes dans les composants matériels et logiciels des appareils gérés. Avec l’attestation d’intégrité des appareils, vous pouvez configurer un serveur GPM pour interroger un service d’attestation d’intégrité qui autorisera ou refusera l’accès d’un appareil géré à une ressource sécurisée.
Les points que vous pouvez vérifier sur l’appareil sont notamment les suivants :
- La prévention de l’exécution des données est-elle pris en charge et activée ?
- Le chiffrement du lecteur BitLocker est-il pris en charge et activé ?
- SecureBoot est-il pris en charge et activé ?
Remarque L’appareil doit exécuter Windows 10 et prendre en charge au minimum TPM 2.0.
Versions prises en charge
| Version du TPM | Windows 10 | Windows Server 2012 R2, Windows 8.1 et Windows RT | Windows Server 2012 R2, Windows 8 et Windows RT | Windows Server 2008 R2 et Windows 7 |
|---|---|---|---|---|
TPM 1.2 |
X |
X |
X |
X |
TPM 2.0 |
X |
X |
X |
X |
Ressources complémentaires
Principes de base du module de plateforme sécurisée (TPM)
Paramètres des stratégies de groupe du module de plateforme sécurisée (TPM)
Applets de commande du module de plateforme sécurisée (TPM) dans Windows PowerShell
Extensions de schéma de service de domaine AD DS pour la prise en charge de la sauvegarde TPM
Préparer votre organisation pour BitLocker : Planification et stratégies - Configurations du TPM