Vue d’ensemble de la technologie de module de plateforme sécurisée

S’applique à

  • Windows 11
  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

Cette rubrique destinée aux professionnels de l’informatique décrit le module de plateforme sécurisée (TPM) et la façon dont Windows l’utilise pour l’authentification et le contrôle d’accès.

Description des fonctionnalités

La technologie de module de plateforme fiable (TPM) est conçue pour fournir des fonctions de sécurité basées sur le matériel. Une puce TPM est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce inclut plusieurs mécanismes de sécurité physique pour la rendre inviolable et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Les principaux avantages de la technologie de TPM sont que vous pouvez:

  • générer, stocker et limiter l’utilisation des clés de chiffrement;

  • utiliser la technologie TPM pour l’authentification des appareils de la plateforme à l’aide de la clé RSA unique du TPM, qui est gravée sur elle-même;

  • garantir l’intégrité de la plateforme en réalisant et en stockant des mesures sur la sécurité.

Les fonctions de TPM les plus courantes sont utilisées pour les mesures de l’intégrité du système et pour la création et l’utilisation de clés. Au cours du processus de démarrage d’un système, le code de démarrage chargé (y compris le microprogramme et les composants du système d’exploitation) peut être mesuré et enregistré dans le TPM. Les mesures de l’intégrité servent de preuve de démarrage d’un système et vous garantissent qu’une clé reposant sur un TPM a été utilisée uniquement lorsque le logiciel approprié a été utilisé pour démarrer le système.

Les clés reposant sur un TPM peuvent être configurées de différentes manières. Vous pouvez par exemple rendre une clé reposant sur un TPM inaccessible en dehors du TPM. Il est important de limiter les attaques par hameçonnage car cela évite que la clé soit copiée et utilisée sans le TPM. Les clés reposant sur un TPM peuvent également être configurées pour exiger une valeur d’autorisation au moment de les utiliser. Si les propositions d’autorisation incorrectes sont trop nombreuses, le TPM active sa logique d’attaque par dictionnaire et empêche toute proposition de valeur d’autorisation supplémentaire.

Différentes versions du TPM sont définies dans les spécifications par le Trusted Computing Group (TCG). Pour plus d’informations, consultez le site Web du TCG.

Initialisation automatique du module TPM avec Windows10

À compter de Windows10, le système d’exploitation initialise automatiquement le module TPM et s’en attribue la propriété. C’est pourquoi il est déconseillé dans la plupart des cas de configurer le module TPM au moyen de sa console de gestion, TPM.msc. Il existe cependant quelques exceptions, principalement en cas de réinitialisation ou de nouvelle installation sur un PC. Pour plus d’informations, voir la section Effacer toutes les clés du module de plateforme sécurisée. Nous ne développons plus activement la console de gestion du TPM à partir de Windows Server 2019 et Windows 10, version 1809.

Dans certains scénarios d’entreprise spécifiques limités à Windows10 versions 1507 et 1511, la stratégie de groupe peut être utilisée pour sauvegarder la valeur d’autorisation du propriétaire du TPM dans ActiveDirectory. Étant donné que l’état du TPM est conservé dans toutes les installations de système d’exploitation, ces informations concernant le TPM sont stockées dans un emplacement d’Active Directory distinct de celui des objets Ordinateur.

Cas pratiques

Vous pouvez installer des certificats ou les créer sur les ordinateurs qui utilisent le TPM. Lorsque vous configurez un ordinateur, la clé privée RSA du certificat est liée au TPM et ne peut pas être exportée. Vous pouvez également utiliser le TPM en remplacement des cartes à puce, pour réduire les coûts associés à la création et à la distribution des cartes à puce.

L’approvisionnement automatisé dans le TPM réduit le coût de déploiement du TPM dans une entreprise. Les nouvelles API de gestion du TPM peuvent déterminer si les actions d’approvisionnement du TPM nécessitent la présence physique d’un technicien qui approuve les demandes de modification d’état du TPM pendant le processus de démarrage.

Les logiciels anti-programme malveillant peuvent utiliser les mesures de démarrage de l’état de démarrage du système d’exploitation pour prouver l’intégrité d’un ordinateur exécutant Windows 10 et les éditions ultérieures ou Windows Server 2016. Ces mesures incluent le lancement d’un Hyper-V pour s’assurer que les centres de données utilisant la virtualisation n’exécutent pas des hyperviseurs non fiables. Le déverrouillage réseau BitLocker permet aux administrateurs informatiques de lancer une mise à jour sans avoir à se préoccuper de la nécessité éventuelle de saisir un code confidentiel sur un ordinateur.

Le module TPM dispose de plusieurs paramètres de stratégie de groupe qui peuvent être utiles dans certains scénarios d’entreprise. Pour plus d’informations, voir la rubrique Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM).

Fonctionnalités nouvelles et modifiées

Pour plus d’informations sur les fonctionnalités nouvelles et modifiées pour le module de plateforme Windows 10, voir Nouveautés du module de plateforme fiable ?

Attestation d’intégrité des appareils

L’attestation d’intégrité des appareils permet aux entreprises d’être parfaitement confiantes dans les composants matériels et logiciels des appareils gérés. Avec l’attestation d’intégrité des appareils, vous pouvez configurer un serveur GPM pour interroger un service d’attestation d’intégrité qui autorisera ou refusera l’accès d’un appareil géré à une ressource sécurisée.

Les points que vous pouvez vérifier sur l’appareil sont notamment les suivants:

  • La prévention de l’exécution des données est-elle pris en charge et activée?

  • Le chiffrement du lecteur BitLocker est-il pris en charge et activé?

  • SecureBoot est-il pris en charge et activé?

Notes

Windows 11, Windows 10, Windows Server 2016 et Windows Server 2019 prise en charge l’attestation d’état de l’appareil avec le TPM 2.0. La prise en charge du TPM 1.2 a été ajoutée à partir Windows version 1607 (RS1). Le TPM 2.0 nécessite le microprogramme UEFI. Un ordinateur avec le BIOS et le TPM 2.0 hérités ne fonctionne pas comme prévu.

Versions prise en charge pour l’attestation d’état de l’appareil

Version du TPM Windows 11 Windows 10 Windows Server 2016 Windows Server 2019
TPM1.2 >= ver 1607 >= ver 1607 Oui
TPM2.0 Oui Oui Oui Oui

Rubriques associées