Une fois qu'il s'est approprié le module de plateforme sécurisée (TPM), le propriétaire du TPM peut limiter les commandes du TPM exécutables en utilisant la stratégie de groupe ou la gestion du module de plateforme sécurisée.

Présentation des commandes du module de plateforme sécurisée

Le matériel du module de plateforme sécurisée est un périphérique passif. Il ne lance pas ou n'interrompt pas les processus sur l'ordinateur. En revanche, il accepte les commandes d'autres applications et y répond, notamment celles qui émanent des pilotes de périphériques et des systèmes d'exploitation. La version actuelle de la spécification des commandes TPM définie par le Trusted Computing Group propose un ensemble de 120 commandes standard régissant le fonctionnement du TPM. Ces commandes s'affichent lorsque vous sélectionnez Gestion des commandes dans la gestion du module de plateforme sécurisée.

Pour obtenir une référence à la liste des commandes disponibles dans la gestion du module de plateforme sécurisée, voir les spécifications de TPM (https://go.microsoft.com/fwlink/?LinkID=139770) (éventuellement en anglais).

Blocage et autorisation des commandes du module de plateforme sécurisée

Vous pouvez contrôler les commandes que le module de plateforme sécurisée sur votre ordinateur peut accepter et auxquelles il peut répondre en sélectionnant la commande dans Gestion des commandes, puis en déterminant si cette commande sera acceptée ou bloquée par le TPM. Il existe trois listes possibles de commandes bloquées : la liste par défaut fournie avec le système d'exploitation, une liste stockée sur l'ordinateur local et gérée par les administrateurs locaux et la liste des commandes contrôlée par les objets de stratégie de groupe. Si une commande de module de plateforme sécurisée existe dans l'une des listes, elle sera bloquée à partir du module. Si un service ou une application tente d'exécuter une commande bloquée, une erreur sera retournée au service ou à l'application qui a envoyé la commande.

Pour plus d'informations, voir Contrôler le blocage des commandes du module de plateforme sécurisée à l'aide de la gestion du module de plateforme sécurisée.

Utilisation de la stratégie de groupe pour contrôler les commandes du module de plateforme sécurisée

Les paramètres de stratégie de groupe pour les services TPM sont stockés dans Configuration ordinateur\Modèles d'administration\Système\Services de module de plateforme sécurisée. Le tableau suivant détaille les paramètres de stratégie permettant de contrôler les commandes du TPM.

Nom du paramètre Description

Configurer la liste des commandes de module de plateforme sécurisée bloquées

Ce paramètre de stratégie permet de gérer la liste de la stratégie de groupe des commandes de module de plateforme sécurisée bloquées par Windows. Si vous activez ce paramètre, Windows empêchera l'envoi des commandes que vous spécifiez au module de plateforme sécurisée sur l'ordinateur. Les commandes du module de plateforme sécurisée sont référencées par un numéro. Par exemple, le numéro de commande 129 est TPM_OwnerReadInternalPub et le numéro de commande 170 est TPM_FieldUpgrade. Pour ajouter des commandes à cette liste, activez le paramètre, puis cliquez sur Afficher pour ouvrir la liste des commandes bloquées. Dans la boîte de dialogue Afficher le contenu, cliquez dans le champ Valeur et tapez le numéro de commande que vous voulez bloquer. Si vous voulez bloquer plusieurs commandes, entrez chaque numéro de commande sur une ligne séparée de la liste.

Si ce paramètre est désactivé ou non configuré, la liste de blocage de la stratégie de groupe n'est pas utilisée et seules les commandes de TPM indiquées dans les listes locales ou les listes par défaut seront bloquées par Windows.

Ignorer la liste par défaut des commandes de module de plateforme sécurisée bloquées

Ce paramètre de stratégie permet d'appliquer ou d'ignorer la liste par défaut des commandes bloquées du module de plateforme sécurisée de l'ordinateur. Si vous activez ce paramètre, Windows ignorera la liste par défaut des commandes bloquées du module de plateforme sécurisée de l'ordinateur et bloquera uniquement les commandes de TPM spécifiées par la stratégie de groupe ou la liste locale. La liste par défaut des commandes bloquées du module de plateforme sécurisée est préconfigurée par Windows. Les commandes de la liste par défaut ont été déconseillées par le Trusted Computing Group ou ont des implications au niveau de la confidentialité que vous devez prendre en compte avant d'en autoriser l'utilisation avec les TPM de votre organisation.

Ignorer la liste locale des commandes de module de plateforme sécurisée bloquées

Ce paramètre de stratégie permet d'appliquer ou d'ignorer la liste locale des commandes bloquées du module de plateforme sécurisée de l'ordinateur. Si vous activez ce paramètre, Windows ignorera la liste locale des commandes bloquées du module de plateforme sécurisée de l'ordinateur et bloquera uniquement les commandes du TPM spécifiées par la stratégie de groupe ou dans la liste par défaut.

Pour plus d'informations, voir Contrôle du blocage des commandes du module de plateforme sécurisée à l'aide de la stratégie de groupe.

Blocage des nouvelles commandes

Dans l'éventualité où des fournisseurs de matériel proposeraient des commandes supplémentaires et où le Trusted Computing Group enrichirait sa palette de commandes, le composant Gestion du module de plateforme sécurisée prend en charge la possibilité de bloquer les nouvelles commandes par le biais de l'élément Bloquer la nouvelle commande du menu Action. Si vous voulez que votre module de plateforme sécurisée bloque une commande supplémentaire, cliquez sur Bloquer la nouvelle commande, puis tapez le numéro de la commande.


Table des matières