Recommandations relatives au module de plateforme sécurisée (TPM)

S’applique à:

  • Windows10
  • Windows 11
  • Windows Server 2016 et versions ultérieures

Cette rubrique fournit des recommandations pour la technologie de module de plateforme fiable (TPM) pour Windows.

Pour consulter une description générale des fonctionnalités du TPM, voir la rubrique Vue d’ensemble de la technologie de module de plateforme sécurisée.

Conception et mise en œuvre du TPM

En général, les TM sont des puces discrètes vendues à la carte mère d’un ordinateur. Ces implémentations permettent au fabricantOEM de l’ordinateur d’évaluer et de certifier leTPM séparément du reste du système. Les implémentations de TPM discrets sont courantes. Toutefois, ils peuvent être problématiques pour les appareils intégrés de petite taille ou à faible consommation d’énergie. Certaines implémentations plus récentes de TPM intègrent la fonctionnalitéTPM dans le même chipset que d’autres composants de la plateforme tout en fournissant une séparation logique semblable à celle des puces de TPM discrètes.

Les TPM sont passifs: ils reçoivent des commandes et renvoient des réponses. Pour tirer pleinement parti des avantages d’un TPM, l’OEM doit intégrer avec soin le matériel système et le microprogramme avec le TPM pour lui envoyer des commandes et réagir à ses réponses. Les TPM ont été initialement conçus pour garantir sécurité et confidentialité au propriétaire et aux utilisateurs d’une plateforme, mais les versions plus récentes offrent les mêmes avantages de sécurité et de confidentialité au matériel système proprement dit. Toutefois, avant de pouvoir être utilisé pour les scénarios avancés, un TPM doit être approvisionné. Windows met automatiquement en service un TPM, mais si l’utilisateur prévoit de réinstaller le système d’exploitation, il devra peut-être effacer le TPM avant de le réinstaller afin que Windows puisse tirer pleinement parti du TPM.

Le Trusted Computing Group (TCG) est l’organisation à but non lucratif qui publie et gère la spécification TPM. Le TCG existe pour développer, définir et promouvoir des normes globales neutres pour les fournisseurs. Ces normes prennent en charge une racine de confiance basée sur le matériel pour les plateformes informatiques fiables interopérables. Le TCG publie également la spécification TPM comme norme internationale ISO/IEC11889, en utilisant le processus de soumission de spécification disponible publiquement que le JTC (Joint Technical Committee)1 définit entre l’ISO (International Organization for Standardization) et l’IEC (International Electrotechnical Commission).

Les OEM implémentent le TPM en tant que composant dans une plateforme informatique approuvée, par exemple un PC, une tablette ou un téléphone. Les plateformes informatiques approuvées utilisent le TPM pour prendre en charge les scénarios de confidentialité et de sécurité qu’un logiciel seul ne peut pas gérer. Par exemple, un logiciel seul ne peut pas signaler avec fiabilité si un programme malveillant est présent au cours du processus de démarrage du système. L’intégration étroite entre TPM et la plateforme augmente la transparence du processus de démarrage et prend en charge l’évaluation de l’intégralité de l’appareil en permettant une évaluation et un signalement fiables du logiciel qui démarre l’appareil. L’implémentation d’un TPM dans le cadre d’une plateforme informatique approuvée fournit une racine de confiance matérielle (c’est-à-dire qu’elle indique un comportement de confiance). Par exemple, si une clé stockée dans un TPM comporte des propriétés qui interdisent l’exportation de la clé, cette clé ne peut réellement pas quitter le TPM.

Le TCG a conçu le TPM comme une solution de sécurité de grande consommation à faible coût qui répond aux exigences des différents segments de clientèle. Il existe des variantes entre les propriétés de sécurité des différentes implémentations de TPM, comme il existe des variantes entre les exigences des clients et des réglementations des différents secteurs. Concernant les achats dans le secteur public, par exemple, certains gouvernements ont clairement défini des exigences de sécurité pour les TPM, alors que d’autres non.

Comparaison des versions1.2 et 2.0 du TPM

Du point de vue de l’industrie, Microsoft a été un acteur majeur de la transition vers le TPM2.0 et de sa normalisation, ce qui présente de nombreux avantages clés en matière d’algorithmes, de chiffrement, de hiérarchie, de clés racine, d’autorisation et de mémoire RAM non volatile (NVRAM).

Quelle est la raison d’être du TPM2.0?

Les produits et systèmes TPM2.0 offrent des avantages de sécurité importants par rapport au TPM1.2, notamment:

  • La spécification TPM1.2 permet uniquement l’utilisation du chiffrement RSA et de l’algorithme de hachage SHA-1.

  • Pour des raisons de sécurité, certaines entités délaissent cet algorithme. Le NIST a notamment imposé à de nombreuses agences fédérales de passer à l’algorithme de hachage SHA-256 à compter de2014 et des leaders technologiques, dont Microsoft et Google, ont annoncé qu’ils supprimeront la prise en charge de la signature ou des certificats basés sur SHA-1 en2017.

  • Le TPM2.0 offre une plus grande souplesse de chiffrement en étant plus flexible en ce qui concerne les algorithmes utilisés.

    • Il prend en charge les nouveaux algorithmes, ce qui peut améliorer les performances en matière de signature de lecteurs et de génération de clés. Pour obtenir la liste complète des algorithmes pris en charge, voir le registre des algorithmes du TCG. Certains TPT ne sont pas en charge par tous les algorithmes.

    • Pour obtenir la liste des algorithmes pris en charge par Windows dans le fournisseur de stockage des clés de chiffrement de plateforme, voir la rubrique consacrée aux fournisseurs d’algorithmes de chiffrement CNG.

    • Le TPM2.0 a obtenu la normalisation ISO (ISO/IEC 11889:2015).

    • L’utilisation du TPM2.0 peut contribuer à éliminer la nécessité pour les fabricants OEM de faire des exceptions aux configurations standard pour certains pays et régions.

  • Le TPM 2.0 offre une expérience plus cohérente entre les différentes implémentations.

    • Les implémentations TPM 1.2 varient selon les paramètres de stratégie. Cela peut entraîner des problèmes de prise en charge lorsque les stratégies de verrouillage varient.

    • La stratégie de verrouillage du TPM 2.0 est configurée par Windows, ce qui garantit une protection cohérente contre les attaques par dictionnaire.

  • Alors que les composants TPM 1.2 sont des composants discrets de silicono, qui sont généralement vendus sur la carte mère, le TPM 2.0 est disponible en tant que composant discret (dTPM) dans un package de semi-automatique unique, un composant intégré incorporé dans un ou plusieurs packages de semi-automatique , ainsi que d’autres unités logiques dans les mêmes packages et en tant que composant de microprogramme (fTPM) exécuté dans un environnement d’exécution approuvé (TEE) sur un SoC à usage général. ****

Notes

Le TPM 2.0 n’est pas pris en charge dans les modes hérités et CSM du BIOS. Les appareils avec le TPM 2.0 doivent avoir leur mode BIOS configuré en tant qu’UEFI natif uniquement. Les options héritage et Module de soutien à la compatibilité (CSM) doivent être désactivées. Pour plus de sécurité, activez la fonctionnalité Démarrage sécurisé.

Un système d'exploitation installé sur du matériel en mode hérité empêchera le système d'exploitation de démarrer lorsque le mode du BIOS sera changé en UEFI. Utilisez l’outil MBR2GPT avant de modifier le mode BIOS qui préparera le système d’exploitation et le disque pour prendre en charge UEFI.

TPM discret, intégré ou microprogramme ?

Il existe trois options d’implémentation pour les TPM:

  • Une puce TPM discrète sous forme de composant indépendant dans son propre package de semi-conducteurs

  • Solution TPM intégrée, utilisant un matériel dédié intégré dans un ou plusieurs packages de semi-conducteurs avec, mais généralement séparée, d’autres composants

  • Solution TPM sous forme de microprogramme, exécutant le module TPM dans le microprogramme dans le mode d’exécution approuvé d’une unité de calcul d’usage général

Windows utilise n’importe quel TPM compatible de la même manière. Microsoft ne prend pas de position sur la façon dont un TPM doit être implémenté et il existe un large écosystème de solutions de TPM disponibles, qui doit répondre à tous les besoins.

Dans quelle mesure le TPM est-il important pour les utilisateurs?

Pour les consommateurs finaux, le TPM est en arrière-plan, mais reste pertinent. Le TPM est actuellement utilisé pour WindowsHello et WindowsHelloEntreprise. À l’avenir, il sera intégré à de nombreuses autres fonctionnalités de sécurité clés dans Windows. Le TPM sécurisation le code confidentiel, permet de chiffrer les mots de passe et s’appuie sur notre expérience globale Windows sécurité en tant que pilier essentiel. L’utilisation de Windows sur un système équipé d’un TPM assure une couverture de la sécurité plus étendue et plus complète.

Conformité du TPM 2.0 pour Windows

Windows éditions de bureau (Famille, Pro, Enterprise Éducation)

  • Depuis le 28 juillet 2016, tous les nouveaux modèles d’appareil, lignes ou séries (ou si vous mettez à jour la configuration matérielle d’un modèle, d’une ligne ou d’une série existante avec une mise à jour majeure, telle que le processeur, les cartes graphiques) doivent implémenter et activer par défaut le TPM 2.0 (détails dans la section 3.7 de la page Configuration matérielle minimale requise). L’obligation d’activer le module de plateforme sécurisée 2.0 s’applique uniquement à la fabrication des nouveaux appareils. Pour obtenir des recommandations TPM pour des fonctionnalités Windows spécifiques, voir TPM et fonctionnalités Windows.

IoT Standard

  • Le TPM est facultatif sur IOT Standard.

WindowsServer2016

  • Le TPM est facultatif pour les références Windows Server, sauf si la référence (SKU) répond aux autres critères de qualification (AQ) pour le scénario des services Guardian hôtes, auquel cas le TPM 2.0 est requis.

TPM et fonctionnalités Windows

Le tableau suivant indique quelles fonctionnalités Windows nécessitent la prise en charge du TPM.

Fonctionnalités Windows TPM exigé Prend en charge TPM1.2 Prend en charge TPM2.0 Détails
Démarrage mesuré Oui Oui Oui Le démarrage mesuré nécessite le TPM 1.2 ou 2.0 et le démarrage sécurisé UEFI. Le TPM 2.0 est recommandé, car il prend en charge des algorithmes de chiffrement plus nouveaux. Le TPM 1.2 prend uniquement en charge l’algorithme SHA-1 qui est en cours d’precatcat.
BitLocker Non Oui Oui Le TPM 1.2 ou 2.0 est pris en charge, mais le TPM 2.0 est recommandé. Le chiffrement automatique des appareils nécessite une veille moderne, y compris la prise en charge du TPM 2.0
Chiffrement de l’appareil Oui Non applicable Oui Le chiffrement de l’appareil exige la certification Veille moderne/Veille connectée, ce qui nécessite TPM2.0.
Windows Defender Application Control (Device Guard) Non Oui Oui
Windows Defender System Guard (DRTM) Oui Non Oui Le TPM 2.0 et le microprogramme UEFI sont requis.
CredentialGuard Non Oui Oui Windows10, version1507 (fin de vie à compter de mai2017) prenait uniquement en charge TPM2.0 pour CredentialGuard. À compter de Windows10, version1511, TPM1.2 et2.0 sont pris en charge. Associé à Windows Defender System Guard, le TPM 2.0 fournit une sécurité renforcée pour Credential Guard. Windows 11 nécessite le TPM 2.0 par défaut pour faciliter l’utilisation de cette sécurité améliorée pour les clients.
Attestation d’intégrité des appareils Oui Oui Oui Le TPM 2.0 est recommandé, car il prend en charge des algorithmes de chiffrement plus nouveaux. Le TPM 1.2 prend uniquement en charge l’algorithme SHA-1 qui est en cours d’precatcat.
WindowsHello/WindowsHelloEntreprise Non Oui Oui La jonction AzureAD prend en charge les deux versions de TPM, mais elle exige un module TPM avec code d’authentification de message de hachage à clé (HMAC) et un certificat de paire de clés de type EK (Endorsement Key)pour la prise en charge de l’attestation de clé. Le TPM 2.0 est recommandé par rapport au TPM 1.2 pour de meilleures performances et une meilleure sécurité. Windows Hello en tant qu’authentateur de plateforme FIDO tirera parti du TPM 2.0 pour le stockage de clés.
Démarrage sécurisé UEFI Non Oui Oui
Fournisseur de stockage de clés de chiffrement de la plateforme TPM Oui Oui Oui
Carte à puce virtuelle Oui Oui Oui
Stockage de certificats Non Oui Oui Le module TPM est exigé uniquement quand le certificat est stocké dans celui-ci.
Autopilot Non Non applicable Oui Si vous envisagez de déployer un scénario qui nécessite un TPM (tel que le gant blanc et le mode de déploiement automatique), le TPM 2.0 et le microprogramme UEFI sont requis.
SecureBIO Oui Non Oui Le TPM 2.0 et le microprogramme UEFI sont requis.

Statut OEM sur la disponibilité système du TPM2.0 et les composants certifiés

Les clients de la fonction publique et les clients d’entreprise dans les secteurs réglementés peuvent appliquer des normes d’acquisition nécessitant l’utilisation de composants TPM certifiés. Par conséquent, les OEM, qui fournissent les appareils, peuvent être tenus d’utiliser uniquement des composants TPM certifiés sur leurs systèmes professionnels. Pour plus d’informations, contactez votre fournisseur de matériel ou OEM.

Rubriques associées