Le TPM (Trusted Platform Module, module de plateforme sécurisé) est un microcontrôleur sécurisé doté de fonctions de cryptage,
conçu pour fournir des fonctions de sécurité de base, notamment des clés de cryptage. Il est installé sur la carte mère et
communique avec le reste du système à l'aide d'un bus matériel.Vous pouvez définir le propriétaire du système et de son TPM
avec des commandes de configuration du BIOS.
Le TPM stocke la configuration de plateforme sous forme d'un ensemble de valeurs dans une série de PCR (Platform Configuration
Registers, registres de configuration de plateforme). Ainsi, l'un des registres peut stocker, par exemple, le nom du fabricant
de la carte mère. Un autre stockera le nom du fabricant du processeur, un troisième, la version du micrologiciel de la plateforme,
etc. Les systèmes qui intègrent un TPM créent une clé liée à des mesures de plateforme. Cette clé ne peut être décompressée
que lorsque ces mesures ont la même valeur que celle qu'elles avaient lors de la création de la clé. Ce processus est appelé
scellement de la clé dans le TPM. Le décryptage est appelé
descellement. Lors de la création initiale d'une clé scellée, le TPM enregistre un instantané des valeurs de configuration et des valeurs
de hachage de fichier. La clé scellée est uniquement
descellée (libérée) lorsque les valeurs systèmes actuelles correspondent à celles de l'instantané. BitLocker utilise des clés scellées
pour détecter les attaques contre l'intégrité du système. Les données sont verrouillées jusqu'à ce que des conditions matérielles
et logicielles spécifiques soient réunies.
BitLocker empêche l'accès non autorisé aux données en combinant deux procédures essentielles de protection des données :
-
Cryptage de l'ensemble du volume du système d'exploitation Windows sur le disque dur : BitLocker crypte tous les fichiers utilisateur et système dans le volume du système d'exploitation.
-
Vérification de l'intégrité des composants d'amorçage précoce et des données de configuration d'amorçage : sur les systèmes disposant de la version 1.2 du TPM, BitLocker exploite les capacités de sécurité améliorées du TPM et veille
à ce que les données soient accessibles uniquement si les composants d'amorçage du système ne sont pas altérés et si le disque
crypté se trouve dans le système d'origine.
BitLocker est conçu pour les systèmes dotés d'une micropuce TPM compatible et un BIOS. Le TPM compatible est défini comme
étant la version 1.2 du TPM. Un BIOS compatible prend en charge le TPM et la mesure statique de la racine de confiance (SRTM,
Static Root of Trust Measurement). BitLocker scelle la clé de cryptage maîtresse dans le TPM et autorise sa libération uniquement
lorsque les mesures de code sont identiques à celles d'un amorçage sécurisé précédent. Cela vous force à fournir une clé de
restauration pour continuer l'amorçage si certaines mesures ont changé. Dans un scénario de mise à jour du BIOS 1-à-n, BitLocker
bloque la mise à jour et demande une clé de restauration avant d'effectuer l'amorçage.
BitLocker protège les données stockées sur un système par
cryptage de l'ensemble du volume et
démarrage sécurisé. Cela garantit que les données stockées sur un système restent cryptées même si un utilisateur modifie le système alors que
le système d'exploitation n'est pas en cours d'exécution, et interdit au système d'exploitation de s'amorcer et de décrypter
le lecteur tant que vous n'avez pas saisi la clé BitLocker.
Le TPM se combine à BitLocker pour fournir une protection au démarrage du système. Le TPM doit être installé et activé pour
que BitLocker puisse l'utiliser. Si les informations de démarrage ont changé, BitLocker passe en mode de restauration et vous
avez besoin d'un mot de passe de restauration pour accéder de nouveau aux données.
-
REMARQUE : Pour en savoir plus sur l'activation de BitLocker, voir le site Web Microsoft TechNet. Pour consulter les instructions d'activation
du TPM, voir la documentation incluse avec le système. Le TPM n'est pas obligatoire pour BitLocker ; toutefois, seul un système
doté d'un TPM peut fournir le niveau supplémentaire de sécurité qu'est la vérification de l'intégrité du système au démarrage.
Sans le TPM, BitLocker peut servir à crypter les volumes mais pas pour le démarrage sécurisé.
-
REMARQUE : La façon la plus sécurisée de configurer BitLocker consiste à utiliser un système doté d'un TPM version 1.2 et d'une implémentation
BIOS compatible TCG (Trusted Computing Group), avec une clé ou un code PIN de démarrage. Ces méthodes apportent une authentification
supplémentaire, car elles exigent que l'utilisateur définisse soit une clé physique supplémentaire (lecteur flash USB où une
clé lisible par le système est écrite), soit un code PIN.
-
REMARQUE : Pour les mises à jour du BIOS en masse, créez un script qui désactive BitLocker, installe la mise à jour, redémarre le système,
puis réactive BitLocker. Pour le déploiement par DUP (Dell Update Package, progiciel de mise à jour Dell) 1-à-1, désactivez
manuellement BitLocker et réactivez-le après avoir redémarré le système.
-
REMARQUE : Outre le progiciel DUP de BIOS, l'exécution du progiciel DUP de micrologiciel pour U320, Serial Attached SCSI (SAS) 5, SAS 6,
le contrôleur RAID évolutif (PERC) 5, PERC 6 et les contrôleurs Cost Effective RAID Controller (CERC) 6 est bloquée sur un
système avec puce TPM version 1.2. De plus, l'option
Sécurité TPM est définie sur
Activé avec mesure de prédémarrage et l'option
Activation TPM est définie sur
Activé si vous activez BitLocker (TPM, TPM avec USB ou TPM avec code PIN).