Fournisseur de services de configuration de stratégie - ADMX_TPM
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
BlockedCommandsList_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
Ce paramètre de stratégie vous permet de gérer la liste stratégie de groupe des commandes de module de plateforme sécurisée (TPM) bloquées par Windows.
Si vous activez ce paramètre de stratégie, Windows bloque l’envoi des commandes spécifiées au module de plateforme sécurisée sur l’ordinateur. Les commandes TPM sont référencées par un numéro de commande. Par exemple, le numéro de commande 129 est TPM_OwnerReadInternalPub et le numéro de commande 170 est TPM_FieldUpgrade. Pour trouver le numéro de commande associé à chaque commande TPM avec TPM 1.2, exécutez « tpm.msc » et accédez à la section « Gestion des commandes ».
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, seules les commandes TPM spécifiées par le biais des listes par défaut ou locales peuvent être bloquées par Windows. La liste par défaut des commandes TPM bloquées est préconfigurée par Windows. Vous pouvez afficher la liste par défaut en exécutant « tpm.msc », en accédant à la section « Gestion des commandes » et en rendant visible la colonne « On Default Block List ». La liste locale des commandes TPM bloquées est configurée en dehors de stratégie de groupe en exécutant « tpm.msc » ou via des scripts sur l’interface Win32_Tpm. Consultez les paramètres de stratégie associés pour appliquer ou ignorer les listes par défaut et locales des commandes TPM bloquées.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | BlockedCommandsList_Name |
| Nom convivial | Configurer la liste des commandes TPM bloquées |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| Nom de la valeur de Registre | Activé |
| Nom du fichier ADMX | TPM.admx |
ClearTPMIfNotReady_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
Ce paramètre de stratégie configure le système pour inviter l’utilisateur à effacer le module de plateforme sécurisée si celui-ci est détecté dans un état autre que Prêt. Cette stratégie prend effet uniquement si le module de plateforme sécurisée du système est dans un état autre que Prêt, y compris si le module de plateforme sécurisée est « Prêt, avec des fonctionnalités réduites ». L’invite pour effacer le module de plateforme sécurisée commence à se produire après le redémarrage suivant, lors de la connexion de l’utilisateur uniquement si l’utilisateur connecté fait partie du groupe Administrateurs pour le système. L’invite peut être ignorée, mais réapparaît après chaque redémarrage et chaque connexion jusqu’à ce que la stratégie soit désactivée ou jusqu’à ce que le module de plateforme sécurisée soit dans un état Prêt.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | ClearTPMIfNotReady_Name |
| Nom convivial | Configurez le système pour effacer le TPM s’il n’est pas dans un état prêt. |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\TPM |
| Nom de la valeur de Registre | ClearTPMIfNotReadyGP |
| Nom du fichier ADMX | TPM.admx |
IgnoreDefaultList_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste par défaut de l’ordinateur de commandes de module de plateforme sécurisée (TPM) bloquées.
- Si vous activez ce paramètre de stratégie, Windows ignore la liste par défaut des commandes TPM bloquées de l’ordinateur et bloque uniquement les commandes TPM spécifiées par stratégie de groupe ou la liste locale.
La liste par défaut des commandes TPM bloquées est préconfigurée par Windows. Vous pouvez afficher la liste par défaut en exécutant « tpm.msc », en accédant à la section « Gestion des commandes » et en rendant visible la colonne « On Default Block List ». La liste locale des commandes TPM bloquées est configurée en dehors de stratégie de groupe en exécutant « tpm.msc » ou via des scripts sur l’interface Win32_Tpm. Consultez le paramètre de stratégie associé pour configurer la liste stratégie de groupe de commandes TPM bloquées.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows bloque les commandes TPM dans la liste par défaut, en plus des commandes du stratégie de groupe et des listes locales de commandes TPM bloquées.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | IgnoreDefaultList_Name |
| Nom convivial | Ignorer la liste par défaut des commandes TPM bloquées |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\TPM\BlockedCommands |
| Nom de la valeur de Registre | IgnoreDefaultList |
| Nom du fichier ADMX | TPM.admx |
IgnoreLocalList_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste locale de l’ordinateur des commandes de module de plateforme sécurisée (TPM) bloquées.
- Si vous activez ce paramètre de stratégie, Windows ignore la liste locale des commandes TPM bloquées de l’ordinateur et bloque uniquement les commandes TPM spécifiées par stratégie de groupe ou la liste par défaut.
La liste locale des commandes TPM bloquées est configurée en dehors de stratégie de groupe en exécutant « tpm.msc » ou via des scripts sur l’interface Win32_Tpm. La liste par défaut des commandes TPM bloquées est préconfigurée par Windows. Consultez le paramètre de stratégie associé pour configurer la liste stratégie de groupe de commandes TPM bloquées.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows bloque les commandes TPM figurant dans la liste locale, en plus des commandes de la stratégie de groupe et des listes par défaut des commandes TPM bloquées.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | IgnoreLocalList_Name |
| Nom convivial | Ignorer la liste locale des commandes TPM bloquées |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\TPM\BlockedCommands |
| Nom de la valeur de Registre | IgnoreLocalList |
| Nom du fichier ADMX | TPM.admx |
OptIntoDSHA_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
Cette stratégie de groupe active les rapports d’attestation d’intégrité des appareils (DHA-report) sur les appareils pris en charge. Il permet aux appareils pris en charge d’envoyer des informations relatives à l’attestation d’intégrité de l’appareil (journaux de démarrage de l’appareil, valeurs DEP, certificat TPM, etc.) au service d’attestation d’intégrité de l’appareil (DHA-Service) chaque fois qu’un appareil démarre. Le service d’attestation d’intégrité de l’appareil valide l’état de sécurité et l’intégrité des appareils, et rend les résultats accessibles aux administrateurs d’entreprise via un portail de création de rapports cloud. Cette stratégie est indépendante des rapports DHA qui sont initiés par des solutions de gestion des appareils (comme GPM ou SCCM) et n’interfèrent pas avec leurs workflows.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | OptIntoDSHA_Name |
| Nom convivial | Activer la surveillance et la création de rapports d’attestation d’intégrité des appareils |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Service d’attestation d’intégrité de l’appareil système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\DeviceHealthAttestationService |
| Nom de la valeur de Registre | EnableDeviceHealthAttestationService |
| Nom du fichier ADMX | TPM.admx |
OSManagedAuth_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
Ce paramètre de stratégie configure la quantité d’informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) stockées dans le registre de l’ordinateur local. En fonction de la quantité d’informations d’autorisation du propriétaire du module de plateforme sécurisée stockées localement, le système d’exploitation et les applications basées sur TPM peuvent effectuer certaines actions TPM qui nécessitent l’autorisation du propriétaire du module de plateforme sécurisée sans obliger l’utilisateur à entrer le mot de passe du propriétaire du module de plateforme sécurisée.
Vous pouvez choisir que le système d’exploitation stocke soit la valeur d’autorisation complète du propriétaire du module de plateforme sécurisée, l’objet blob de délégation d’administration TPM plus l’objet blob de délégation d’utilisateur TPM, soit aucun.
Si vous activez ce paramètre de stratégie, Windows stocke l’autorisation du propriétaire du module de plateforme sécurisée dans le registre de l’ordinateur local en fonction du paramètre d’authentification TPM géré par le système d’exploitation que vous choisissez.
Choisissez le paramètre d’authentification TPM géré par le système d’exploitation « Full » pour stocker l’autorisation complète du propriétaire TPM, l’objet blob de délégation administrative TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Ce paramètre permet d’utiliser le module de plateforme sécurisée sans nécessiter de stockage distant ou externe de la valeur d’autorisation du propriétaire du module de plateforme sécurisée. Ce paramètre est approprié pour les scénarios qui ne dépendent pas de la réinitialisation de la logique anti-marteau du module de plateforme sécurisée ou de la modification de la valeur d’autorisation du propriétaire du module de plateforme sécurisée. Certaines applications basées sur le module de plateforme sécurisée peuvent nécessiter la modification de ce paramètre avant que les fonctionnalités qui dépendent de la logique anti-hammering du module de plateforme sécurisée puissent être utilisées.
Choisissez le paramètre d’authentification TPM géré par le système d’exploitation « Délégué » pour stocker uniquement l’objet blob de délégation administrative TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Ce paramètre est approprié pour une utilisation avec des applications TPM qui dépendent de la logique anti-hammering TPM.
Choisissez le paramètre d’authentification TPM géré par le système d’exploitation « Aucun » pour la compatibilité avec les systèmes d’exploitation et les applications précédents ou pour une utilisation avec des scénarios qui nécessitent que l’autorisation du propriétaire du module de plateforme sécurisée ne soit pas stockée localement. L’utilisation de ce paramètre peut entraîner des problèmes avec certaines applications basées sur le TPM.
Remarque
Si le paramètre d’authentification TPM géré par le système d’exploitation passe de « Complet » à « Délégué », la valeur d’autorisation complète du propriétaire du module de plateforme sécurisée est régénérée et toutes les copies de la valeur d’autorisation du propriétaire du module de plateforme sécurisée d’origine ne sont pas valides.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | OSManagedAuth_Name |
| Nom convivial | Configurer le niveau d’autorisation du propriétaire du module de plateforme sécurisée (TPM) disponible pour le système d’exploitation |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\TPM |
| Nom du fichier ADMX | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
Ce paramètre de stratégie vous permet de gérer la durée en minutes du décompte des échecs d’autorisation utilisateur standard pour les commandes de module de plateforme sécurisée (TPM) nécessitant une autorisation. Si le nombre de commandes TPM avec un échec d’autorisation dans la durée est égal à un seuil, un utilisateur standard ne peut pas envoyer des commandes nécessitant une autorisation au TPM.
Ce paramètre permet aux administrateurs d’empêcher le matériel TPM d’entrer en mode de verrouillage, car cela ralentit la vitesse à partir de celle-ci. Les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation antérieurs à cette durée sont ignorés.
Pour chaque utilisateur standard, deux seuils s’appliquent. Le dépassement de l’un ou l’autre seuil empêche l’utilisateur standard d’envoyer une commande au module de plateforme sécurisée qui nécessite une autorisation.
La valeur Standard User Lockout Threshold Individual correspond au nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant que l’utilisateur ne soit autorisé à envoyer des commandes nécessitant une autorisation au TPM.
La valeur seuil total de verrouillage d’utilisateur standard correspond au nombre total maximal d’échecs d’autorisation que tous les utilisateurs standard peuvent avoir avant que tous les utilisateurs standard ne soient pas autorisés à envoyer des commandes nécessitant une autorisation au TPM.
Le TPM est conçu pour se protéger contre les attaques par estimation de mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes avec une valeur d’autorisation incorrecte. Lorsque le TPM passe en mode de verrouillage, il est global pour tous les utilisateurs, y compris les administrateurs et les fonctionnalités Windows telles que le chiffrement de lecteur BitLocker. Le nombre d’échecs d’autorisation qu’un module de plateforme sécurisée autorise et la durée pendant laquelle il reste verrouillé varient selon le fabricant du module de plateforme sécurisée. Certains TPM peuvent passer en mode de verrouillage pour des périodes successives plus longues avec moins d’échecs d’autorisation en fonction des échecs passés. Certains modules TPM peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres modules de plateforme sécurisée peuvent nécessiter que le système soit activé afin que suffisamment de cycles d’horloge s’écoulent avant que le module de plateforme sécurisée ne quitte le mode de verrouillage.
Un administrateur disposant du mot de passe du propriétaire du module de plateforme sécurisée peut réinitialiser entièrement la logique de verrouillage matériel du module de plateforme sécurisée à l’aide de la console de gestion du module de plateforme sécurisée (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du module TPM, tous les échecs d’autorisation du module de plateforme sécurisée de l’utilisateur standard sont ignorés . permettre aux utilisateurs standard d’utiliser le module de plateforme sécurisée normalement immédiatement.
Si cette valeur n’est pas configurée, une valeur par défaut de 480 minutes (8 heures) est utilisée.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | StandardUserAuthorizationFailureDuration_Name |
| Nom convivial | Durée standard du verrouillage de l’utilisateur |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\Tpm |
| Nom de la valeur de Registre | StandardUserAuthorizationFailureDuration |
| Nom du fichier ADMX | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour chaque utilisateur standard pour le module de plateforme sécurisée (TPM). Si le nombre d’échecs d’autorisation pour l’utilisateur pendant la durée de durée du verrouillage de l’utilisateur standard est égal à cette valeur, l’utilisateur standard ne peut pas envoyer des commandes au module de plateforme sécurisée (TPM) qui nécessitent une autorisation.
Ce paramètre permet aux administrateurs d’empêcher le matériel TPM d’entrer en mode de verrouillage, car cela ralentit la vitesse à partir de celle-ci. Les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation plus anciens que la durée sont ignorés.
Pour chaque utilisateur standard, deux seuils s’appliquent. Le dépassement de l’un ou l’autre seuil empêche l’utilisateur standard d’envoyer une commande au module de plateforme sécurisée qui nécessite une autorisation.
Cette valeur correspond au nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant que l’utilisateur ne soit autorisé à envoyer des commandes nécessitant une autorisation au TPM.
La valeur seuil total de verrouillage d’utilisateur standard correspond au nombre total maximal d’échecs d’autorisation que tous les utilisateurs standard peuvent avoir avant que tous les utilisateurs standard ne soient pas autorisés à envoyer des commandes nécessitant une autorisation au TPM.
Le TPM est conçu pour se protéger contre les attaques par estimation de mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes avec une valeur d’autorisation incorrecte. Lorsque le TPM passe en mode de verrouillage, il est global pour tous les utilisateurs, y compris les administrateurs et les fonctionnalités Windows telles que le chiffrement de lecteur BitLocker. Le nombre d’échecs d’autorisation qu’un module de plateforme sécurisée autorise et la durée pendant laquelle il reste verrouillé varient selon le fabricant du module de plateforme sécurisée. Certains TPM peuvent passer en mode de verrouillage pour des périodes successives plus longues avec moins d’échecs d’autorisation en fonction des échecs passés. Certains modules TPM peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres modules de plateforme sécurisée peuvent nécessiter que le système soit activé afin que suffisamment de cycles d’horloge s’écoulent avant que le module de plateforme sécurisée ne quitte le mode de verrouillage.
Un administrateur disposant du mot de passe du propriétaire du module de plateforme sécurisée peut réinitialiser entièrement la logique de verrouillage matériel du module de plateforme sécurisée à l’aide de la console de gestion du module de plateforme sécurisée (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du module TPM, tous les échecs d’autorisation du module de plateforme sécurisée de l’utilisateur standard sont ignorés . permettre aux utilisateurs standard d’utiliser le module de plateforme sécurisée normalement immédiatement.
Si cette valeur n’est pas configurée, une valeur par défaut de 4 est utilisée.
La valeur zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | StandardUserAuthorizationFailureIndividualThreshold_Name |
| Nom convivial | Seuil de verrouillage individuel de l’utilisateur standard |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\Tpm |
| Nom de la valeur de Registre | StandardUserAuthorizationFailureIndividualThreshold |
| Nom du fichier ADMX | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour tous les utilisateurs standard pour le module de plateforme sécurisée (TPM). Si le nombre total d’échecs d’autorisation pour tous les utilisateurs standard au cours de la durée du verrouillage de l’utilisateur standard est égal à cette valeur, tous les utilisateurs standard ne peuvent pas envoyer des commandes au module de plateforme sécurisée (TPM) qui nécessitent une autorisation.
Ce paramètre permet aux administrateurs d’empêcher le matériel TPM d’entrer en mode de verrouillage, car cela ralentit la vitesse à partir de celle-ci. Les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation plus anciens que la durée sont ignorés.
Pour chaque utilisateur standard, deux seuils s’appliquent. Le dépassement de l’un ou l’autre seuil empêche l’utilisateur standard d’envoyer une commande au module de plateforme sécurisée qui nécessite une autorisation.
La valeur de verrouillage individuel de l’utilisateur standard correspond au nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant que l’utilisateur ne soit autorisé à envoyer des commandes nécessitant une autorisation au TPM.
Cette valeur correspond au nombre total maximal d’échecs d’autorisation que tous les utilisateurs standard peuvent avoir avant que tous les utilisateurs standard ne soient pas autorisés à envoyer des commandes nécessitant une autorisation au TPM.
Le TPM est conçu pour se protéger contre les attaques par estimation de mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes avec une valeur d’autorisation incorrecte. Lorsque le TPM passe en mode de verrouillage, il est global pour tous les utilisateurs, y compris les administrateurs et les fonctionnalités Windows telles que le chiffrement de lecteur BitLocker. Le nombre d’échecs d’autorisation qu’un module de plateforme sécurisée autorise et la durée pendant laquelle il reste verrouillé varient selon le fabricant du module de plateforme sécurisée. Certains TPM peuvent passer en mode de verrouillage pour des périodes successives plus longues avec moins d’échecs d’autorisation en fonction des échecs passés. Certains modules TPM peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres modules de plateforme sécurisée peuvent nécessiter que le système soit activé afin que suffisamment de cycles d’horloge s’écoulent avant que le module de plateforme sécurisée ne quitte le mode de verrouillage.
Un administrateur disposant du mot de passe du propriétaire du module de plateforme sécurisée peut réinitialiser entièrement la logique de verrouillage matériel du module de plateforme sécurisée à l’aide de la console de gestion du module de plateforme sécurisée (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du module TPM, tous les échecs d’autorisation du module de plateforme sécurisée de l’utilisateur standard sont ignorés . permettre aux utilisateurs standard d’utiliser le module de plateforme sécurisée normalement immédiatement.
Si cette valeur n’est pas configurée, une valeur par défaut de 9 est utilisée.
La valeur zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | StandardUserAuthorizationFailureTotalThreshold_Name |
| Nom convivial | Seuil de verrouillage total de l’utilisateur standard |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\Tpm |
| Nom de la valeur de Registre | StandardUserAuthorizationFailureTotalThreshold |
| Nom du fichier ADMX | TPM.admx |
UseLegacyDAP_Name
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
Ce paramètre de stratégie configure le module de plateforme sécurisée pour qu’il utilise les paramètres de prévention des attaques par dictionnaire (seuil de verrouillage et temps de récupération) pour les valeurs utilisées pour Windows 10 version 1607 et antérieure. La définition de cette stratégie prend effet uniquement si a) le module de plateforme sécurisée a été préparé à l’origine à l’aide d’une version de Windows après Windows 10 version 1607 et b) si le système a un module de plateforme sécurisée (TPM) 2.0. Notez que l’activation de cette stratégie prend effet uniquement après l’exécution de la tâche de maintenance du module de plateforme sécurisée (ce qui se produit généralement après un redémarrage du système). Une fois que cette stratégie a été activée sur un système et qu’elle a pris effet (après un redémarrage du système), sa désactivation n’aura aucun impact et le TPM du système reste configuré à l’aide des paramètres de prévention des attaques par dictionnaire hérités, quelle que soit la valeur de cette stratégie de groupe. La seule façon pour que le paramètre désactivé de cette stratégie prenne effet sur un système sur lequel il a été activé est de a) le désactiver de la stratégie de groupe et b)effacer le TPM sur le système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | UseLegacyDAP_Name |
| Nom convivial | Configurez le système pour qu’il utilise le paramètre de paramètres de prévention des attaques par dictionnaire hérité pour TPM 2.0. |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Services de module de plateforme sécurisée système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\TPM |
| Nom de la valeur de Registre | UseLegacyDictionaryAttackParameters |
| Nom du fichier ADMX | TPM.admx |
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour