Paramètres de stratégie de groupe du module de plateforme sécurisée (TPM)
Cette rubrique décrit les services Module de plateforme sécurisée (TPM) qui peuvent être contrôlés de façon centralisée à l’aide des paramètres de stratégie de groupe. Les paramètres stratégie de groupe pour les services TPM se trouvent sous Configuration> ordinateurModèles> d’administrationServices demodule de plateforme sécurisée système>.
Configurer le niveau d’autorisation du propriétaire du module de plateforme sécurisée (TPM) disponible pour le système d’exploitation
Important
À partir de la version 1703 de Windows 10, la valeur par défaut est 5. Cette valeur est implémentée lors de l’approvisionnement afin qu’un autre composant Windows puisse la supprimer ou s’en approprier, selon la configuration du système. Pour le module de plateforme sécurisée (TPM) 2.0, une valeur de 5 signifie conserver l’autorisation de verrouillage. Pour le module de plateforme sécurisée (TPM) 1.2, cela signifie ignorer l’autorisation du propriétaire du TPM complet et conserver uniquement l’autorisation déléguée.
Ce paramètre de stratégie a configuré les valeurs d’autorisation du TPM qui sont stockées dans le Registre de l’ordinateur local. Certaines valeurs d’autorisation sont requises pour permettre à Windows d’effectuer certaines actions.
| Valeur TPM 1.2 | Valeur TPM 2.0 | Objectif | Conservé au niveau 0 ? | Conservé au niveau 2 ? | Conservé au niveau 4 ? |
|---|---|---|---|---|---|
| OwnerAuthAdmin | StorageOwnerAuth | Créer SRK | Non | Oui | Oui |
| OwnerAuthEndorsement | EndorsementAuth | Créer ou utiliser EK (1.2 uniquement : Créer un AIK) | Non | Oui | Oui |
| OwnerAuthFull | LockoutAuth | Réinitialiser/modifier la protection contre les attaques par dictionnaire | Non | Non | Oui |
Trois paramètres d’authentification du propriétaire du TPM sont gérés par le système d’exploitation Windows. Vous pouvez choisir la valeur Complet, Déléguéou Aucun.
Complet : ce paramètre stocke l’autorisation complète du propriétaire du module de plateforme sécurisée, l’objet blob de délégation d’administration TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Avec ce paramètre, vous pouvez utiliser le TPM sans nécessiter de stockage distant ou externe de la valeur d’autorisation du propriétaire du module de plateforme sécurisée (TPM). Ce paramètre est approprié pour les scénarios qui ne nécessitent pas de réinitialiser la logique anti-martèlement du TPM ou de modifier la valeur d’autorisation du propriétaire du TPM. Certaines applications basées sur le TPM peuvent exiger que ce paramètre soit modifié pour que les fonctionnalités qui dépendent de la logique anti-martèlement du TPM soient utilisées. L’autorisation propriétaire totale dans le TPM 1.2 est similaire à l’autorisation de verrouillage dans le TPM 2.0. L’autorisation du propriétaire a une signification différente pour le TPM 2.0.
Délégué : ce paramètre stocke uniquement l’objet blob de délégation administrative TPM et l’objet blob de délégation d’utilisateur TPM dans le registre local. Ce paramètre est approprié pour une utilisation avec des applications basées sur le TPM qui dépendent de la logique anti-martèlement du TPM. Il s’agit du paramètre par défaut dans Windows antérieur à la version 1703.
Aucun : ce paramètre assure la compatibilité avec les systèmes d’exploitation et les applications précédents. Vous pouvez également l’utiliser dans les scénarios où l’autorisation du propriétaire du TPM ne peut pas être stockée localement. L’utilisation de ce paramètre peut entraîner des problèmes avec certaines applications basées sur le TPM.
Remarque
Si le paramètre d’authentification TPM géré du système d’exploitation passe de Complet à Délégué,la valeur d’autorisation du propriétaire du TPM complète est régénérée et les copies de la valeur d’autorisation du propriétaire du TPM précédemment définie ne sont pas valides.
Informations du Registre
Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD : OSManagedAuthLevel
Le tableau suivant indique les valeurs d’autorisation du propriétaire du TPM dans le Registre.
| Données de valeur | Paramètre |
|---|---|
| 0 | Aucun(e) |
| 2 | Déléguée |
| 4 | Complet |
Si vous activez ce paramètre de stratégie, le système d’exploitation Windows stocke l’autorisation du propriétaire du TPM dans le Registre de l’ordinateur local en fonction du paramètre d’authentification du TPM que vous choisissez.
Sous Windows 10 avant la version 1607, si vous désactivez ou ne configurez pas ce paramètre de stratégie, et que le paramètre de stratégie Activer la sauvegarde du module de plateforme sécurisée dans Active Directory Domain Services (AD DS) est également désactivé ou non configuré, le paramètre par défaut consiste à stocker la valeur d'autorisation TPM complète dans le registre local. Si cette stratégie est désactivée ou n’est pas configurée et que le paramètre de stratégie Activer la sauvegarde du module de plateforme sécurisée dans Active Directory Domain Services (AD DS) est activé, seuls les blobs de délégation d’administration et de délégation d’utilisateur sont stockés dans le Registre local.
Durée standard du verrouillage de l’utilisateur
Ce paramètre de stratégie vous permet de gérer la durée en minutes du décompte des échecs d’autorisation utilisateur standard pour les commandes de module de plateforme sécurisée (TPM) nécessitant une autorisation. Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur qui indique qu’un échec d’autorisation s’est produit. Les échecs d'autorisation qui sont plus anciens que la durée que vous avez fixée sont ignorés. Si le nombre de commandes du TPM dont l’autorisation a échoué pendant la durée du verrouillage est égal à un seuil, un utilisateur standard ne peut pas envoyer de commandes nécessitant une autorisation au TPM.
Le TPM est conçu pour se protéger contre les attaques par estimation de mot de passe en entrant un mode de verrouillage matériel lorsqu’il reçoit trop de commandes avec une valeur d’autorisation incorrecte. Lorsque le TPM passe en mode verrouillage, il est global pour tous les utilisateurs (y compris les administrateurs) et pour les fonctionnalités Windows telles que le Chiffrement de lecteur BitLocker.
Ce paramètre permet aux administrateurs d’empêcher le matériel du TPM d’entrer en mode verrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au TPM.
Pour chaque utilisateur standard, deux seuils s’appliquent. Le dépassement de l’un ou l’autre seuil empêche l’utilisateur d’envoyer une commande nécessitant une autorisation au TPM. Utilisez les paramètres de stratégie suivants pour définir la durée du verrouillage :
- Seuil de verrouillage individuel de l’utilisateur standard : cette valeur correspond au nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant que l’utilisateur ne soit autorisé à envoyer des commandes nécessitant une autorisation au TPM.
- Seuil de verrouillage total de l’utilisateur standard : cette valeur correspond au nombre total maximal d’échecs d’autorisation que tous les utilisateurs standard peuvent avoir avant que tous les utilisateurs standard ne soient autorisés à envoyer des commandes qui nécessitent une autorisation au TPM.
Un administrateur ayant le mot de passe du propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage du matériel du TPM à l’aide du Centre de sécurité Windows Defender. Chaque fois qu’un administrateur réinitialise la logique de verrouillage du matériel du TPM, tous les échecs d’autorisation du TPM standard précédents sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, une valeur par défaut de 480 minutes (8 heures) est utilisée.
Seuil de verrouillage individuel de l’utilisateur standard
Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour chaque utilisateur standard pour le module de plateforme sécurisée (TPM). Cette valeur est le nombre maximal d’échecs d’autorisation que chaque utilisateur standard peut avoir avant qu’il ne soit pas autorisé à envoyer des commandes nécessitant une autorisation au TPM. Si le nombre d’échecs d’autorisation pour l’utilisateur pendant la durée définie pour le paramètre de stratégie Durée de verrouillage de l’utilisateur standard est égal à cette valeur, l’utilisateur standard ne peut pas envoyer de commandes qui nécessitent une autorisation au module de plateforme sécurisée (TPM).
Ce paramètre permet aux administrateurs d’empêcher le matériel du TPM d’entrer en mode verrouillage en ralentissant la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au TPM.
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation plus anciens que la durée sont ignorés.
Un administrateur ayant le mot de passe du propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage du matériel du TPM à l’aide du Centre de sécurité Windows Defender. Chaque fois qu’un administrateur réinitialise la logique de verrouillage du matériel du TPM, tous les échecs d’autorisation du TPM standard précédents sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, la valeur par défaut 4 est utilisée. La valeur zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Seuil de verrouillage total de l’utilisateur standard
Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour tous les utilisateurs standard pour le module de plateforme sécurisée (TPM). Si le nombre total d’échecs d’autorisation pour tous les utilisateurs standard pendant la durée définie pour la stratégie Durée du verrouillage de l’utilisateur standard est égal à cette valeur, tous les utilisateurs standard ne peuvent pas envoyer de commandes qui nécessitent une autorisation au module de plateforme sécurisée (TPM).
Ce paramètre permet aux administrateurs d’empêcher le matériel TPM d’entrer en mode de verrouillage, car cela ralentit la vitesse à partir de celle-ci. Les utilisateurs standard peuvent envoyer des commandes nécessitant une autorisation au module de plateforme sécurisée (TPM).
Un échec d’autorisation se produit chaque fois qu’un utilisateur standard envoie une commande au TPM et reçoit une réponse d’erreur indiquant qu’un échec d’autorisation s’est produit. Les échecs d’autorisation plus anciens que la durée sont ignorés.
Un administrateur ayant le mot de passe du propriétaire du TPM peut réinitialiser entièrement la logique de verrouillage du matériel du TPM à l’aide du Centre de sécurité Windows Defender. Chaque fois qu’un administrateur réinitialise la logique de verrouillage du matériel du TPM, tous les échecs d’autorisation du TPM standard précédents sont ignorés. Cela permet aux utilisateurs standard d’utiliser immédiatement le TPM normalement.
Si vous ne configurez pas ce paramètre de stratégie, la valeur par défaut 9 est utilisée. La valeur zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au TPM, ce qui peut entraîner un échec d’autorisation.
Configurer le système pour utiliser les paramètres de prévention des attaques par dictionnaire hérités pour le TPM 2.0
Introduit dans Windows 10, version 1703, ce paramètre de stratégie configure le TPM pour utiliser les paramètres de prévention des attaques par dictionnaire (seuil de verrouillage et temps de récupération) sur les valeurs utilisées pour la version 1607 de Windows 10 et versions inférieures.
Important
La définition de cette stratégie ne prend effet que si :
- Le TPM a été initialement préparé à l’aide d’une version de Windows après la version 1607 de Windows 10
- Le système dispose d’un TPM 2.0.
Remarque
L’activation de cette stratégie prend effet uniquement après l’application de la tâche de maintenance du TPM (ce qui se produit généralement après un redémarrage du système). Une fois que cette stratégie a été activée sur un système et qu’elle a pris effet (après un redémarrage du système), sa désactivation n’aura aucun impact et le TPM du système reste configuré à l’aide des paramètres de prévention des attaques par dictionnaire hérités, quelle que soit la valeur de cette stratégie de groupe. Les seules façons pour que le paramètre désactivé de cette stratégie prenne effet sur un système où elle a été activée sont les deux :
- Désactiver la stratégie de groupe
- Effacer le TPM sur le système
Paramètres de stratégie de groupe TPM dans Sécurité Windows
Vous pouvez modifier ce que les utilisateurs voient sur le module de plateforme sécurisée dans Sécurité Windows. Les paramètres de stratégie de groupe pour la zone TPM dans Sécurité Windows se trouvent sous Configuration> ordinateurModèles d’administration>Composants> Windows Sécurité Windows> Sécurité de l’appareil.
Désactiver le bouton Effacer le TPM
Si vous ne souhaitez pas que les utilisateurs puissent cliquer sur le bouton Effacer le module de plateforme sécurisée dans Sécurité Windows, vous pouvez le désactiver avec ce paramètre stratégie de groupe. Sélectionnez Activé pour rendre le bouton Effacer le TPM indisponible pour utilisation.
Masquer la recommandation de mise à jour du microprogramme du TPM
Si vous ne souhaitez pas que les utilisateurs voient la recommandation de mise à jour du microprogramme du TPM, vous pouvez le désactiver avec ce paramètre. Sélectionnez Activé pour empêcher les utilisateurs de voir une recommandation pour mettre à jour leur microprogramme de TPM lorsqu’un microprogramme vulnérable est détecté.
Rubriques associées
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour