Vue d’ensemble de la technologie de module de plateforme sécurisée

S’applique à

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • WindowsServer2019

Cette rubrique destinée aux professionnels de l’informatique décrit le Module de plateforme sécurisée (TPM) et la façon dont Windows l’utilise pour l’authentification et le contrôle d’accès.

Description des fonctionnalités

La technologie du Module de plateforme sécurisée (TPM) est conçue pour fournir des fonctions de sécurité basées sur le matériel. Une puce TPM est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce inclut plusieurs mécanismes de sécurité physique pour la rendre inviolable et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Les principaux avantages de la technologie du TPM sont que vous pouvez:

  • générer, stocker et limiter l’utilisation des clés de chiffrement;

  • Utilisez la technologie du TPM pour l’authentification des appareils de plateforme à l’aide de la clé RSA unique du module de plateforme sécurisée (TPM) qui y est incorporée.

  • garantir l’intégrité de la plateforme en réalisant et en stockant des mesures sur la sécurité.

Les fonctions de TPM les plus courantes sont utilisées pour les mesures de l’intégrité du système et pour la création et l’utilisation de clés. Au cours du processus de démarrage d’un système, le code de démarrage chargé (y compris le microprogramme et les composants du système d’exploitation) peut être mesuré et enregistré dans le TPM. Les mesures de l’intégrité servent de preuve de démarrage d’un système et vous garantissent qu’une clé reposant sur un TPM a été utilisée uniquement lorsque le logiciel approprié a été utilisé pour démarrer le système.

Les clés reposant sur un TPM peuvent être configurées de différentes manières. Vous pouvez par exemple rendre une clé reposant sur un TPM inaccessible en dehors du TPM. Il est important de limiter les attaques par hameçonnage car cela évite que la clé soit copiée et utilisée sans le TPM. Les clés reposant sur un TPM peuvent également être configurées pour exiger une valeur d’autorisation au moment de les utiliser. Si les propositions d’autorisation incorrectes sont trop nombreuses, le TPM active sa logique d’attaque par dictionnaire et empêche toute proposition de valeur d’autorisation supplémentaire.

Différentes versions du TPM sont définies dans les spécifications par le Trusted Computing Group (TCG). Pour plus d’informations, consultez le site Web du TCG.

Initialisation automatique du TPM avec Windows

À partir Windows10 et Windows11, le système d’exploitation initialise et prend automatiquement possession du TPM. C’est pourquoi il est déconseillé dans la plupart des cas de configurer le module TPM via sa console de gestion, TPM.msc. Il existe cependant quelques exceptions, principalement en cas de réinitialisation ou de nouvelle installation sur un PC. Pour plus d’informations, voir la section Effacer toutes les clés du Module de plateforme sécurisée. Nous ne développons plus activement la console de gestion du TPM à partir de WindowsServer2019 et Windows10, version1809.

Dans certains scénarios d’entreprise spécifiques limités à Windows10 versions 1507 et 1511, la stratégie de groupe peut être utilisée pour sauvegarder la valeur d’autorisation du propriétaire du TPM dans ActiveDirectory. Étant donné que l’état du TPM est conservé dans toutes les installations de système d’exploitation, ces informations concernant le TPM sont stockées dans un emplacement d’Active Directory distinct de celui des objets Ordinateur.

Cas pratiques

Vous pouvez installer des certificats ou les créer sur les ordinateurs qui utilisent le TPM. Lorsque vous configurez un ordinateur, la clé privée RSA du certificat est liée au TPM et ne peut pas être exportée. Vous pouvez également utiliser le TPM en remplacement des cartes à puce, pour réduire les coûts associés à la création et à la distribution des cartes à puce.

L’approvisionnement automatisé dans le TPM réduit le coût de déploiement du TPM dans une entreprise. Les nouvelles API de gestion du TPM peuvent déterminer si les actions d’approvisionnement du TPM nécessitent la présence physique d’un technicien qui approuve les demandes de modification d’état du TPM pendant le processus de démarrage.

Les logiciels anti-programme malveillant peuvent utiliser les mesures de démarrage de l’état de démarrage du système d’exploitation pour prouver l’intégrité d’un ordinateur exécutant Windows10 ou Windows11 ou WindowsServer2016. Ces mesures incluent le lancement d’un Hyper-V pour s’assurer que les centres de données utilisant la virtualisation n’exécutent pas des hyperviseurs non fiables. Le déverrouillage réseau BitLocker permet aux administrateurs informatiques de lancer une mise à jour sans avoir à se préoccuper de la nécessité éventuelle de saisir un code confidentiel sur un ordinateur.

Le module TPM dispose de plusieurs paramètres de stratégie de groupe qui peuvent être utiles dans certains scénarios d’entreprise. Pour plus d’informations, voir la rubrique Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM).

Fonctionnalités nouvelles et modifiées

Pour plus d’informations sur les fonctionnalités nouvelles et modifiées pour le module de plateforme Windows, voir Nouveautés du module de plateforme fiable?

Attestation d’intégrité des appareils

L’attestation d’intégrité des appareils permet aux entreprises d’être parfaitement confiantes dans les composants matériels et logiciels des appareils gérés. Avec l’attestation d’intégrité des appareils, vous pouvez configurer un serveur GPM pour interroger un service d’attestation d’intégrité qui autorisera ou refusera l’accès d’un appareil géré à une ressource sécurisée.

Les points que vous pouvez vérifier sur l’appareil sont notamment les suivants:

  • La prévention de l’exécution des données est-elle pris en charge et activée?

  • Le chiffrement du lecteur BitLocker est-il pris en charge et activé?

  • SecureBoot est-il pris en charge et activé?

Notes

Windows11, Windows10, WindowsServer2016 et Attestation d'intégrité de l'appareil de prise en charge de WindowsServer2019 avec le TPM2.0. La prise en charge du TPM1.2 a été ajoutée à partir Windows version1607 (RS1). Le TPM2.0 nécessite le microprogramme UEFI. Un ordinateur avec le BIOS et le TPM2.0 hérités ne fonctionne pas comme prévu.

Versions prise en charge pour l’Attestation d'intégrité de l'appareil

Version du TPM Windows11 Windows 10 Windows Server 2016 WindowsServer2019
TPM1.2 >= ver1607 >= ver1607 Oui
TPM2.0 Oui Oui Oui Oui

Rubriques associées