Partager via

Blocage des commandes

  • Article

Pour préserver l’intégrité des opérations, certaines commandes TPM ne sont pas autorisées à être exécutées par des logiciels sur la plateforme. Par exemple, certaines commandes sont exécutées uniquement par le logiciel système. Lorsque le tbS bloque une commande, une erreur est retournée comme il convient. Par défaut, le tbS bloque les commandes susceptibles d’avoir un impact sur la confidentialité, la sécurité et la stabilité du système. Le tbS suppose également que d’autres parties de la pile logicielle peuvent restreindre l’accès à certaines commandes aux entités autorisées.

Pour les commandes TPM version 1.2, il existe trois listes de commandes bloquées : une liste contrôlée par la stratégie de groupe, une liste contrôlée par les administrateurs locaux et une liste par défaut. Une commande TPM est bloquée si elle se trouve sur l’une des listes. Toutefois, il existe des indicateurs de stratégie de groupe pour permettre au tbS d’ignorer la liste locale et la liste par défaut. Les indicateurs de stratégie de groupe peuvent être modifiés directement ou accessibles via l’Éditeur d’objets de stratégie de groupe.

Note

La liste des commandes bloquées localement n’est pas conservée après une mise à niveau vers le système d’exploitation. Les commandes bloquées dans la liste des stratégies de groupe sont conservées.

 

Pour les commandes TPM version 2.0, la logique de blocage est inversée ; il utilise une liste de commandes autorisées. Cette logique bloque automatiquement les commandes qui n’ont pas été connues lors de la première création de la liste. Lorsque des commandes sont ajoutées à la spécification du module de plateforme sécurisée après la livraison d’une version de Windows, ces nouvelles commandes sont automatiquement bloquées. Seule une mise à jour du Registre ajoute ces nouvelles commandes à la liste des commandes autorisées.

À compter de Windows 10 1809 (Windows Server 2019), les commandes TPM 2.0 autorisées ne peuvent plus être manipulées via les paramètres du Registre. Pour ces versions de Windows 10, les commandes TPM 2.0 autorisées sont corrigées dans le pilote TPM. Les commandes TPM 1.2 peuvent toujours être bloquées et déblocées par le biais des modifications du Registre.

Accès direct au Registre

Les indicateurs de stratégie de groupe se trouvent sous la clé de Registre HKEY_LOCAL_MACHINE\Stratégies\Software\Microsoft\Tpm\BlockedCommands.

Pour déterminer quelles listes doivent être utilisées pour bloquer les commandes TPM, il existe deux valeurs d'DWORD utilisées comme indicateurs booléens :

  • « IgnoreDefaultList »

    Si la valeur est définie (elle existe et n’est pas différente de zéro), le tbS ignore la liste des commandes bloquées par défaut.

  • « IgnoreLocalList »

    Si la valeur est définie (elle existe et n’est pas différente de zéro), la fonction TBS ignore la liste des commandes bloquées locales.

Éditeur d’objets de stratégie de groupe

Pour accéder à l’éditeur d’objets de stratégie de groupe

  1. Cliquez sur Démarrer.
  2. Cliquez sur Exécuter.
  3. Dans la zone Ouvrir, tapez gpedit.msc. Cliquez sur OK. L’éditeur d’objets de stratégie de groupe s’ouvre.
  4. Développez configuration ordinateur.
  5. Développez modèles d’administration.
  6. Développez système.
  7. Développez services de module de plateforme approuvée.

Les listes de commandes TPM1.2 bloquées spécifiques peuvent être modifiées directement dans les emplacements suivants.

  • Liste des stratégies de groupe :

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Liste locale :

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Liste par défaut :

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Sous chacune de ces clés de Registre, il existe une liste de valeurs de Registre de REG_SZ type. Chaque valeur représente une commande TPM bloquée. Chaque clé de Registre a un champ « Nom de valeur » et un champ « Données de valeur ». Les deux champs (« Nom de la valeur » et « Données valeur »), doivent correspondre exactement à la valeur décimale de la commande TPM à bloquer.

La liste des commandes TPM 2.0 autorisées spécifiques peut être modifiée directement à l’emplacement suivant. Sous la clé de Registre, il existe une liste de valeurs de Registre de type REG_DWORD. Chaque valeur représente une commande TPM 2.0 autorisée. Chaque valeur de Registre a un nom de et une valeur champ. Le nom correspond à l’ordinal de la commande TPM hexadécimale 2.0 qui doit être autorisée. La valeur a la valeur 1 si la commande est autorisée. Si un ordinal de commande n’est pas présent ou a la valeur 0, la commande est bloquée.

  • Liste par défaut :

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Pour Windows 8, Windows Server 2012 et versions ultérieures, les BlockedCommands et AllowedW8Commands clés de Registre déterminent respectivement les commandes TPM bloquées ou autorisées pour les comptes d’administrateur. Les comptes d’utilisateur ont une liste de commandes TPM bloquées ou autorisées dans les BlockedUserCommands et AllowedW8UserCommands clés de Registre respectivement. Dans Windows 10, version 1607, de nouvelles clés de Registre ont été introduites pour les applications AppContainer : BlockedAppContainerCommands et AllowedW8AppContainerCommands.