Blocage des commandes

  • Article

Pour préserver l’intégrité des opérations, certaines commandes TPM ne sont pas autorisées à être exécutées par un logiciel sur la plateforme. Par exemple, certaines commandes sont exécutées uniquement par le logiciel système. Lorsque le service TBS bloque une commande, une erreur est retournée comme il convient. Par défaut, le SCT bloque les commandes qui pourraient avoir un impact sur la confidentialité, la sécurité et la stabilité du système. Le SCT suppose également que d’autres parties de la pile logicielle peuvent restreindre l’accès à certaines commandes aux entités autorisées.

Pour les commandes TPM version 1.2, il existe trois listes de commandes bloquées : une liste contrôlée par une stratégie de groupe, une liste contrôlée par les administrateurs locaux et une liste par défaut. Une commande TPM est bloquée si elle se trouve sur l’une des listes. Toutefois, il existe des indicateurs de stratégie de groupe permettant au TBS d’ignorer la liste locale et la liste par défaut. Les indicateurs de stratégie de groupe peuvent être modifiés directement ou accessibles via l’éditeur d’objets stratégie de groupe.

Notes

La liste des commandes bloquées localement n’est pas conservée après une mise à niveau vers le système d’exploitation. Les commandes bloquées dans la liste stratégie de groupe sont conservées.

 

Pour les commandes TPM version 2.0, la logique de blocage est inversée ; il utilise une liste de commandes autorisées. Cette logique bloque automatiquement les commandes qui n’étaient pas connues lors de la première création de la liste. Lorsque des commandes sont ajoutées à la spécification TPM après la livraison d’une version de Windows, ces nouvelles commandes sont automatiquement bloquées. Seule une mise à jour du Registre ajoutera ces nouvelles commandes à la liste des commandes autorisées.

À compter de Windows 10 1809 (Windows Server 2019), les commandes TPM 2.0 autorisées ne peuvent plus être manipulées via les paramètres du Registre. Pour ces versions Windows 10, les commandes TPM 2.0 autorisées sont corrigées dans le pilote TPM. Les commandes TPM 1.2 peuvent toujours être bloquées et déblocées via des modifications du Registre.

Accès direct au Registre

Les indicateurs stratégie de groupe se trouvent sous la clé de Registre HKEY_LOCAL_MACHINE\Stratégies\logicielles\Microsoft\Tpm\BlockedCommands.

Pour déterminer quelles listes doivent être utilisées pour bloquer les commandes TPM, il existe deux valeurs DWORD qui sont utilisées comme indicateurs booléens :

  • « IgnoreDefaultList »

    Si la valeur est définie (la valeur existe et n’est pas nulle), le TBS ignore la liste des commandes bloquées par défaut.

  • « IgnoreLocalList »

    Si la valeur est définie (la valeur existe et n’est pas nulle), le TBS ignore la liste des commandes bloquées locales.

Éditeur d'objets de stratégie de groupe

Pour accéder à l’éditeur d’objets stratégie de groupe

  1. Cliquez sur Start.
  2. Cliquez sur Exécuter.
  3. Dans la zone Ouvrir , tapez gpedit.msc. Cliquez sur OK. L’éditeur d’objet stratégie de groupe s’ouvre.
  4. Développez Configuration ordinateur.
  5. Développez Modèles d’administration.
  6. Développez Système.
  7. Développez Services de module de plateforme approuvée.

Les listes de commandes TPM1.2 bloquées spécifiques peuvent être modifiées directement aux emplacements suivants.

  • Liste de stratégies de groupe :

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Liste locale :

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Liste par défaut :

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

Sous chacune de ces clés de Registre, il existe une liste de valeurs de Registre de REG_SZ type. Chaque valeur représente une commande TPM bloquée. Chaque clé de Registre a un champ « Nom de la valeur » et un champ « Données de valeur ». Les deux champs (« Nom de la valeur » et « Données de valeur ») doivent correspondre exactement à la valeur décimale de l’ordinal de commande TPM à bloquer.

La liste des commandes TPM 2.0 autorisées spécifiques peut être modifiée directement à l’emplacement suivant. Sous la clé de Registre, il existe une liste de valeurs de Registre de REG_DWORD type. Chaque valeur représente une commande TPM 2.0 autorisée. Chaque valeur de Registre a un nom et un champ de valeur . Le nom correspond à l’ordinal de commande TPM 2.0 hexadécimal qui doit être autorisé. La valeur a la valeur 1 si la commande est autorisée. Si un ordinal de commande n’est pas présent ou a la valeur 0, la commande est bloquée.

  • Liste par défaut :

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Par Windows 8, Windows Server 2012 et versions ultérieures, les clés de Registre BlockedCommands et AllowedW8Commands déterminent respectivement les commandes de TPM bloquées ou autorisées pour les comptes d’administrateur. Les comptes d’utilisateur ont une liste de commandes TPM bloquées ou autorisées dans les clés de Registre BlockedUserCommands et AllowedW8UserCommands respectivement. Dans Windows 10, version 1607, de nouvelles clés de Registre ont été introduites pour les applications AppContainer : BlockedAppContainerCommands et AllowedW8AppContainerCommands.