Vue d’ensemble de la technologie de module de plateforme sécurisée

Cet article décrit le module de plateforme sécurisée (TPM) et comment Windows l’utilise pour le contrôle d’accès et l’authentification.

Description des fonctionnalités

La technologie de module de plateforme sécurisée (TPM) est conçue pour fournir des fonctions matérielles liées à la sécurité. Une puce TPM est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce inclut plusieurs mécanismes de sécurité physique pour la rendre inviolable et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Voici quelques-uns des avantages de l’utilisation de la technologie TPM :

  • générer, stocker et limiter l’utilisation des clés de chiffrement ;
  • Utilisez-la pour l’authentification de l’appareil à l’aide de la clé RSA unique du module de plateforme sécurisée, qui est gravée dans la puce.
  • Contribuez à garantir l’intégrité de la plateforme en prenant et en stockant des mesures de sécurité du processus de démarrage.

Les fonctions de TPM les plus courantes sont utilisées pour les mesures de l’intégrité du système et pour la création et l’utilisation de clés. Au cours du processus de démarrage d’un système, le code de démarrage chargé (y compris le microprogramme et les composants du système d’exploitation) peut être mesuré et enregistré dans le TPM. Les mesures de l’intégrité servent de preuve de démarrage d’un système et vous garantissent qu’une clé reposant sur un TPM a été utilisée uniquement lorsque le logiciel approprié a été utilisé pour démarrer le système.

Les clés TPM peuvent être configurées de différentes façons. Vous pouvez par exemple rendre une clé reposant sur un TPM inaccessible en dehors du TPM. Il est important de limiter les attaques par hameçonnage car cela évite que la clé soit copiée et utilisée sans le TPM. Les clés reposant sur un TPM peuvent également être configurées pour exiger une valeur d’autorisation au moment de les utiliser. Si trop d’estimations d’autorisation incorrectes se produisent, le TPM active sa logique d’attaque de dictionnaire et empêche d’autres estimations de valeur d’autorisation.

Différentes versions du TPM sont définies dans les spécifications par le Trusted Computing Group (TCG). Pour plus d’informations, consultez le site Web tcg.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge le module de plateforme sécurisée (TPM) :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Oui Oui Oui Oui

Les droits de licence de module de plateforme sécurisée (TPM) sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Oui Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Initialisation automatique du TPM avec Windows

À partir Windows 10 et Windows 11, le système d’exploitation initialise et prend automatiquement possession du TPM. C’est pourquoi il est déconseillé dans la plupart des cas de configurer le module TPM via sa console de gestion, TPM.msc. Il existe cependant quelques exceptions, principalement en cas de réinitialisation ou de nouvelle installation sur un PC. Pour plus d’informations, voir la section Effacer toutes les clés du Module de plateforme sécurisée.

Remarque

Nous ne développons plus activement la console de gestion du TPM à partir de Windows Server 2019 et Windows 10, version 1809.

Dans certains scénarios d’entreprise spécifiques limités à Windows 10 versions 1507 et 1511, la stratégie de groupe peut être utilisée pour sauvegarder la valeur d’autorisation du propriétaire du TPM dans Active Directory. Étant donné que l’état du TPM est conservé dans toutes les installations de système d’exploitation, ces informations concernant le TPM sont stockées dans un emplacement d’Active Directory distinct de celui des objets Ordinateur.

Cas pratiques

Vous pouvez installer des certificats ou les créer sur les ordinateurs qui utilisent le TPM. Une fois qu’un ordinateur est approvisionné, la clé privée RSA d’un certificat est liée au TPM et ne peut pas être exportée. Vous pouvez également utiliser le TPM en remplacement des cartes à puce, pour réduire les coûts associés à la création et à la distribution des cartes à puce.

L’approvisionnement automatisé dans le TPM réduit le coût de déploiement du TPM dans une entreprise. Les nouvelles API de gestion du TPM peuvent déterminer si les actions d’approvisionnement du TPM nécessitent la présence physique d’un technicien qui approuve les demandes de modification d’état du TPM pendant le processus de démarrage.

Les logiciels anti-programme malveillant peuvent utiliser les mesures de démarrage de l’état de démarrage du système d’exploitation pour prouver l’intégrité d’un ordinateur exécutant Windows. Ces mesures incluent le lancement d’Hyper-V pour tester que les centres de données utilisant la virtualisation n’exécutent pas d’hyperviseurs non approuvés. Le déverrouillage réseau BitLocker permet aux administrateurs informatiques de lancer une mise à jour sans avoir à se préoccuper de la nécessité éventuelle de saisir un code confidentiel sur un ordinateur.

Le module TPM dispose de plusieurs paramètres de stratégie de groupe qui peuvent être utiles dans certains scénarios d’entreprise. Pour plus d’informations, voir la rubrique Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM).

Attestation d’intégrité des appareils

L’attestation d’intégrité des appareils permet aux entreprises d’être parfaitement confiantes dans les composants matériels et logiciels des appareils gérés. Avec l’attestation de santé d’appareil, vous pouvez configurer un serveur GPM pour interroger un service d’attestation d’intégrité qui autorise ou refuse l’accès d’un appareil géré à une ressource sécurisée.

Voici quelques problèmes de sécurité que vous pouvez case activée sur les appareils :

  • La prévention de l’exécution des données est-elle pris en charge et activée ?
  • Le chiffrement du lecteur BitLocker est-il pris en charge et activé ?
  • SecureBoot est-il pris en charge et activé ?

Remarque

Windows prend en charge l’attestation d’intégrité de l’appareil avec TPM 2.0. Le TPM 2.0 nécessite le microprogramme UEFI. Un appareil avec le BIOS hérité et le TPM 2.0 ne fonctionne pas comme prévu.

Versions prise en charge pour l’Attestation d'intégrité de l'appareil

Version du TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 Oui >= ver 1607
TPM 2.0 Oui Oui Oui Oui Oui