entrer le nom complet ici entrer la description ici Ce paramètre de stratégie vous permet de gérer la sauvegarde des services de domaine Active Directory (AD DS) des informations du propriétaire du module de plateforme sécurisée (TPM, Trusted Platform Module). Les informations du propriétaire du module de plateforme sécurisée comprennent un hachage chiffré du mot de passe de ce propriétaire. Certaines commandes du module de plateforme sécurisée peuvent être exécutées seulement par le propriétaire du module de plateforme sécurisée. Ce hachage autorise le module de plateforme sécurisée à exécuter ces commandes. Si vous activez ce paramètre de stratégie, les informations du propriétaire du module de plateforme sécurisée sont sauvegardées vers les services de domaine Active Directory (AD DS) automatiquement et silencieusement quand vous utilisez Windows pour définir ou modifier un mot de passe de propriétaire de module de plateforme sécurisée. Si vous activez ce paramètre de stratégie, le mot de passe d’un propriétaire de module de plateforme sécurisée ne peut être défini ou modifié que si l’ordinateur est connecté au domaine et si la sauvegarde des services de domaine Active Directory (AD DS) réussit. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les informations du propriétaire de module de plateforme sécurisée ne seront pas sauvegardées vers les services de domaine Active Directory (AD DS). Remarque : vous devez d’abord configurer les extensions de schéma et les paramètres de contrôle d’accès appropriés sur le domaine pour que la sauvegarde des services de domaine Active Directory (AD DS) puisse réussir. Pour plus d’informations sur la configuration des services de domaine Active Directory (AD DS) pour le module de plateforme sécurisée, voir la documentation en ligne. Remarque : le module de plateforme sécurisée ne peut pas être utilisé pour fournir des fonctionnalités de sécurité améliorées au chiffrement de lecteur BitLocker et à d’autres applications sans la définition préalable d’un propriétaire. Pour prendre la propriété du module de plateforme sécurisée avec un mot de passe de propriétaire, exécutez « tpm.msc » et sélectionnez l’action d’initialisation du module de plateforme sécurisée. Remarque : si les informations du propriétaire de module de plateforme sécurisée sont perdues ou indisponibles, une gestion limitée du module de plateforme sécurisée est possible en exécutant « tpm.msc » sur l’ordinateur local. Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) Ce paramètre de stratégie vous permet de gérer la liste de la stratégie de groupe répertoriant les commandes de module de plateforme sécurisée bloquées par Windows. Si vous activez ce paramètre de stratégie, Windows bloque l’envoi des commandes spécifiées au module de plateforme sécurisée sur l’ordinateur. Les commandes de module de plateforme sécurisée sont référencées par un numéro de commande. Par exemple, le numéro de commande 129 est TPM_OwnerReadInternalPub et le numéro de commande 170 est TPM_FieldUpgrade. Pour trouver le numéro de commande associé à chaque commande de module de plateforme sécurisée, exécutez « tpm.msc » et allez à la section « Gestion des commandes ». Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, seules les commandes de module de plateforme sécurisée spécifiées via les listes par défaut ou locales peuvent être bloquées par Windows. La liste par défaut des commandes de module de plateforme sécurisée bloquées est préconfigurée par Windows. Vous pouvez afficher la liste par défaut en exécutant « tpm.msc », en allant à la section « Gestion des commandes » et en rendant visible la colonne « Sur la liste de blocage par défaut ». La liste locale des commandes de module de plateforme sécurisée bloquées est configurée en dehors de la stratégie de groupe en exécutant « tpm.msc » ou via des scripts avec l’interface WMI Win32_Tpm. Consultez les paramètres de stratégie concernés pour appliquer ou ignorer les listes par défaut et locales des commandes de module de plateforme sécurisée bloquées. Configurer la liste des commandes de module de plateforme sécurisée bloquées Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste par défaut des commandes de module de plateforme sécurisée bloquées de l’ordinateur. Si vous activez ce paramètre de stratégie, Windows ignore la liste par défaut des commandes de module de plateforme sécurisée bloquées de l’ordinateur et bloque seulement les commandes de module de plateforme sécurisée spécifiées par la stratégie de groupe ou par la liste locale. La liste par défaut des commandes de module de plateforme sécurisée bloquées est préconfigurée par Windows. Vous pouvez afficher la liste par défaut en exécutant « tpm.msc », en allant à la section « Gestion des commandes » et en rendant visible la colonne « Sur la liste de blocage par défaut ». La liste locale des commandes de module de plateforme sécurisée bloquées est configurée en dehors de la stratégie de groupe en exécutant « tpm.msc » ou via des scripts avec l’interface WMI Win32_Tpm. Consultez le paramètre de stratégie associé pour configurer la liste de la stratégie de groupe répertoriant les commandes de module de plateforme sécurisée bloquées. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, Windows bloque les commandes de module de plateforme sécurisée de la liste par défaut, en plus des commandes de la liste de la stratégie de groupe et de la liste locale répertoriant les commandes de module de plateforme sécurisée bloquées. Ignorer la liste par défaut des commandes de module de plateforme sécurisée bloquées Ce paramètre de stratégie vous permet d’appliquer ou d’ignorer la liste locale des commandes de module de plateforme sécurisée bloquées de l’ordinateur. Si vous activez ce paramètre de stratégie, Windows ignore la liste locale des commandes de module de plateforme sécurisée bloquées de l’ordinateur et bloque seulement les commandes de module de plateforme sécurisée spécifiées par la stratégie de groupe ou par la liste par défaut. La liste locale des commandes de module de plateforme sécurisée bloquées est configurée en dehors de la stratégie de groupe en exécutant « tpm.msc » ou via des scripts avec l’interface WMI Win32_Tpm. La liste par défaut des commandes de module de plateforme sécurisée bloquées est préconfigurée par Windows. Consultez le paramètre de stratégie associé pour configurer la liste de la stratégie de groupe répertoriant les commandes de module de plateforme sécurisée bloquées. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, Windows bloque les commandes de module de plateforme sécurisée figurant dans la liste locale, en plus des commandes de la liste de la stratégie de groupe et de la liste par défaut répertoriant les commandes de module de plateforme sécurisée bloquées. Ignorer la liste locale des commandes de module de plateforme sécurisée bloquées Services de module de plateforme sécurisée Configurer le niveau des informations d’autorisation du module de plateforme sécurisée (TPM) accessibles au système d’exploitation Ce paramètre de stratégie configure la quantité d’informations d’autorisation du propriétaire de module de plateforme sécurisée (TPM) stockées dans le Registre de l’ordinateur local. Selon la quantité d’informations d’autorisation du propriétaire de module de plateforme sécurisée (TPM) stockées localement, le système d’exploitation et les applications basées sur le module de plateforme sécurisée (TPM) peuvent effectuer certaines actions de module de plateforme sécurisée (TPM) qui nécessitent une autorisation du propriétaire de module de plateforme sécurisée (TPM) sans que l’utilisateur soit obligé d’entrer le mot de passe du propriétaire de module de plateforme sécurisée (TPM). Selon votre choix, le système d’exploitation peut stocker la valeur d’autorisation complète du propriétaire de module de plateforme sécurisée (TPM), le blob de délégation d’administration du module de plateforme sécurisée (TPM) et le blob de délégation d’utilisateur du module de plateforme sécurisée (TPM), ou aucune valeur. Si vous activez ce paramètre de stratégie, Windows stocke l’autorisation du propriétaire de module de plateforme sécurisée (TPM) dans le Registre de l’ordinateur local, en fonction de votre choix du paramètre d’authentification de module de plateforme sécurisée (TPM) géré par le système d’exploitation. Choisissez le paramètre Complète pour l’authentification du module de plateforme sécurisée (TPM) gérée par le système d’exploitation afin de stocker l’intégralité de l’autorisation du propriétaire de module de plateforme sécurisée (TPM), le blob de délégation d’administration du module de plateforme sécurisée (TPM) et le blob de délégation d’utilisateur du module de plateforme sécurisée (TPM) dans le Registre local. Ce paramètre permet l’utilisation du module de plateforme sécurisée (TPM) sans nécessiter de stockage distant ou externe de la valeur d’autorisation du propriétaire de module de plateforme sécurisée (TPM). Ce paramètre est approprié dans les situations qui ne reposent pas sur le blocage de la réinitialisation du module de plateforme sécurisée (TPM), la logique anti-martèlement ou la modification de la valeur d’autorisation du propriétaire de module de plateforme sécurisée (TPM). Certaines applications basées sur le module de plateforme sécurisée (TPM) peuvent nécessiter la modification de ce paramètre pour permettre l’utilisation des fonctionnalités qui dépendent de la logique anti-martèlement. Choisissez le paramètre Déléguée pour l’authentification du module de plateforme sécurisée (TPM) gérée par le système d’exploitation afin de stocker uniquement le blob de délégation d’administration du module de plateforme sécurisée (TPM) et le blob de délégation d’utilisateur du module de plateforme sécurisée (TPM) dans le Registre local. Ce paramètre est approprié pour les situations où les applications basées sur le module de plateforme sécurisée (TPM) dépendent de la logique anti-martèlement du module de plateforme sécurisée (TPM). Le stockage externe ou distant de la valeur d’autorisation complète du propriétaire de module de plateforme sécurisée (TPM), par exemple via la sauvegarde de la valeur dans les services de domaine Active Directory (AD DS), est recommandé lorsque ce paramètre est utilisé. Choisissez le paramètre Aucune pour l’authentification du module de plateforme sécurisée (TPM) gérée par le système d’exploitation afin de garantir une compatibilité avec les systèmes d’exploitation et applications antérieurs, ou dans les situations qui nécessitent que l’autorisation du propriétaire de module de plateforme sécurisée (TPM) ne soit pas stockée localement. L’utilisation de ce paramètre peut poser des problèmes avec certaines applications basées sur le module de plateforme sécurisée (TPM). Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas et si vous désactivez le paramètre de stratégie « Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) » ou si vous ne le configurez pas, le paramètre par défaut définit le stockage de la valeur d’autorisation complète du module de plateforme sécurisée (TPM) dans le Registre local. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas et si vous activez le paramètre de stratégie de groupe « Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) », seuls le blob de délégation d’administration et le blob de délégation d’utilisateur sont stockés dans le Registre local. Remarque : si vous remplacez le paramètre Complète par le paramètre « Déléguée » pour l’authentification du module de plateforme sécurisée (TPM) gérée par le système d’exploitation, la valeur d’autorisation complète du propriétaire de module de plateforme sécurisée (TPM) est régénérée et toutes les copies de la valeur d’autorisation d’origine du propriétaire de module de plateforme sécurisée (TPM) deviennent non valides. Si vous sauvegardez la valeur d’autorisation du propriétaire de module de plateforme sécurisée (TPM) dans les services AD DS, la nouvelle valeur d’autorisation du propriétaire est automatiquement sauvegardée dans les services AD DS au moment où elle est modifiée. Complète Déléguée Aucune Durée de verrouillage pour l’utilisateur standard Ce paramètre de stratégie vous permet de définir la durée en minutes pendant laquelle les échecs d’autorisation de l’utilisateur standard sont comptabilisés pour les commandes du module de plateforme sécurisée (TPM) nécessitant une autorisation. Si le nombre d’échecs d’autorisation des commandes du module de plateforme sécurisée (TPM) atteint le seuil fixé pendant la durée définie, l’utilisateur standard ne peut plus envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée (TPM). Ce paramètre permet aux administrateurs d’empêcher le matériel du module de plateforme sécurisée de passer en mode de verrouillage car cela ralentit la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes qui nécessitent l’autorisation au module de plateforme sécurisée. L’autorisation échoue à chaque fois qu’un utilisateur envoie une commande au module de plateforme sécurisée et reçoit une réponse d’erreur indiquant que l’autorisation a échoué. Les échecs d’autorisation antérieurs à cette durée sont ignorés. Deux seuils s’appliquent à tous les utilisateurs standard. Le dépassement de l’un de ces seuils empêche l’utilisateur standard d’envoyer une commande au module de plateforme sécurisée qui requiert l’autorisation. La valeur Seuil individuel de verrouillage pour l’utilisateur standard est le nombre maximal d’échecs d’autorisation que peut rencontrer chaque utilisateur standard avant qu’il ne soit plus autorisé à envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée. La valeur Seuil total de verrouillage pour l’utilisateur standard est le nombre total maximal d’échecs d’autorisation que peuvent rencontrer tous les utilisateurs standard avant qu’ils ne soient plus autorisés à envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée. Le module de plateforme sécurisée est conçu pour se protéger contre les tentatives d’usurpation de mot de passe en passant en mode de verrouillage matériel lorsqu’il reçoit trop de commandes dont la valeur d’autorisation est incorrecte. Lorsque le module de plateforme sécurisée passe en mode de verrouillage, le mode s’applique à tous les utilisateurs y compris aux administrateurs et aux fonctionnalités Windows telles que le Chiffrement de lecteur BitLocker. Le nombre d’échecs d’autorisation autorisé par un module de plateforme sécurisée et la durée de verrouillage dépend du fabricant du module de plateforme sécurisée. Certains modules de plateforme sécurisée peuvent passer en mode de verrouillage pour des périodes successives de plus en plus longues avec moins d’échecs d’autorisation, en fonction des échecs précédents. Certains modules de plateforme sécurisée peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres modules de plateforme sécurisée peuvent nécessiter que le système soit actif pour qu’un certain nombre de cycles d’horloge s’écoulent avant que le module de plateforme sécurisée quitte le mode de verrouillage. Un administrateur disposant du mot de passe propriétaire du module de plateforme sécurisée peut entièrement réinitialisé la logique de verrouillage matériel du module de plateforme sécurisée dans la console de gestion du module de plateforme sécurisée (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du module de plateforme sécurisée, tous les précédents échecs d’autorisation du module de plateforme sécurisée pour les utilisateurs standard sont ignorés, permettant ainsi aux utilisateurs standard d’utiliser à, nouveau le module de plateforme sécurisée normalement immédiatement. Si cette valeur n’est pas configurée, une valeur par défaut de 480 minutes (8 heures) est utilisée. Seuil individuel de verrouillage pour l’utilisateur standard Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour chaque utilisateur standard du module de plateforme sécurisée (TPM). Si le nombre d’échecs d’autorisation de l’utilisateur atteint cette valeur au cours de la durée de verrouillage pour l’utilisateur standard, ce dernier ne peut plus envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée (TPM). Ce paramètre permet aux administrateurs d’empêcher le matériel du module de plateforme sécurisée de passer en mode de verrouillage car cela ralentit la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes qui nécessitent l’autorisation au module de plateforme sécurisée. L’autorisation échoue à chaque fois qu’un utilisateur envoie une commande au module de plateforme sécurisée et reçoit une réponse d’erreur indiquant que l’autorisation a échoué. Les échecs d’autorisation antérieurs à la durée sont ignorés. Deux seuils s’appliquent à tous les utilisateurs standard. Le dépassement de l’un de ces seuils empêche l’utilisateur standard d’envoyer une commande au module de plateforme sécurisée qui requiert l’autorisation. Cette valeur est le nombre maximal d’échecs d’autorisation que peut rencontrer chaque utilisateur standard avant qu’il ne soit plus autorisé à envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée. La valeur Seuil total de verrouillage pour l’utilisateur standard est le nombre total maximal d’échecs d’autorisation que peuvent rencontrer tous les utilisateurs standard avant qu’ils ne soient plus autorisés à envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée. Le module de plateforme sécurisée est conçu pour se protéger contre les tentatives d’usurpation de mot de passe en passant en mode de verrouillage matériel lorsqu’il reçoit trop de commandes dont la valeur d’autorisation est incorrecte. Lorsque le module de plateforme sécurisée passe en mode de verrouillage, le mode s’applique à tous les utilisateurs y compris aux administrateurs et aux fonctionnalités Windows telles que le Chiffrement de lecteur BitLocker. Le nombre d’échecs d’autorisation autorisé par un module de plateforme sécurisée et la durée de verrouillage dépend du fabricant du module de plateforme sécurisée. Certains modules de plateforme sécurisée peuvent passer en mode de verrouillage pour des périodes successives de plus en plus longues avec moins d’échecs d’autorisation, en fonction des échecs précédents. Certains modules de plateforme sécurisée peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres modules de plateforme sécurisée peuvent nécessiter que le système soit actif pour qu’un certain nombre de cycles d’horloge s’écoulent avant que le module de plateforme sécurisée quitte le mode de verrouillage. Un administrateur disposant du mot de passe propriétaire du module de plateforme sécurisée peut entièrement réinitialisé la logique de verrouillage matériel du module de plateforme sécurisée dans la console de gestion du module de plateforme sécurisée (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du module de plateforme sécurisée, tous les précédents échecs d’autorisation du module de plateforme sécurisée pour les utilisateurs standard sont ignorés, permettant ainsi aux utilisateurs standard d’utiliser à, nouveau le module de plateforme sécurisée normalement immédiatement. Si cette valeur n’est pas configurée, une valeur par défaut de 4 est utilisée. Une valeur de zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au module de plateforme sécurisée pouvant entraîner un échec d’autorisation. Seuil total de verrouillage pour l’utilisateur standard Ce paramètre de stratégie vous permet de gérer le nombre maximal d’échecs d’autorisation pour tous les utilisateurs standard du module de plateforme sécurisée (TPM). Si le nombre total d’échecs d’autorisation de tous les utilisateurs standard atteint cette valeur au cours de la durée de verrouillage pour l’utilisateur standard, aucun utilisateur standard ne peut plus envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée (TPM). Ce paramètre permet aux administrateurs d’empêcher le matériel du module de plateforme sécurisée de passer en mode de verrouillage car cela ralentit la vitesse à laquelle les utilisateurs standard peuvent envoyer des commandes qui nécessitent l’autorisation au module de plateforme sécurisée. L’autorisation échoue à chaque fois qu’un utilisateur envoie une commande au module de plateforme sécurisée et reçoit une réponse d’erreur indiquant que l’autorisation a échoué. Les échecs d’autorisation antérieurs à la durée sont ignorés. Deux seuils s’appliquent à tous les utilisateurs standard. Le dépassement de l’un de ces seuils empêche l’utilisateur standard d’envoyer une commande au module de plateforme sécurisée qui requiert l’autorisation. La valeur Seuil individuel de verrouillage pour l’utilisateur standard est le nombre maximal d’échecs d’autorisation que peut rencontrer chaque utilisateur standard avant qu’il ne soit plus autorisé à envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée. Cette valeur est le nombre total maximal d’échecs d’autorisation que peuvent rencontrer tous les utilisateurs standard avant qu’ils ne soient plus autorisés à envoyer de commandes nécessitant une autorisation au module de plateforme sécurisée. Le module de plateforme sécurisée est conçu pour se protéger contre les tentatives d’usurpation de mot de passe en passant en mode de verrouillage matériel lorsqu’il reçoit trop de commandes dont la valeur d’autorisation est incorrecte. Lorsque le module de plateforme sécurisée passe en mode de verrouillage, le mode s’applique à tous les utilisateurs y compris aux administrateurs et aux fonctionnalités Windows telles que le Chiffrement de lecteur BitLocker. Le nombre d’échecs d’autorisation autorisé par un module de plateforme sécurisée et la durée de verrouillage dépend du fabricant du module de plateforme sécurisée. Certains modules de plateforme sécurisée peuvent passer en mode de verrouillage pour des périodes successives de plus en plus longues avec moins d’échecs d’autorisation, en fonction des échecs précédents. Certains modules de plateforme sécurisée peuvent nécessiter un redémarrage du système pour quitter le mode de verrouillage. D’autres modules de plateforme sécurisée peuvent nécessiter que le système soit actif pour qu’un certain nombre de cycles d’horloge s’écoulent avant que le module de plateforme sécurisée quitte le mode de verrouillage. Un administrateur disposant du mot de passe propriétaire du module de plateforme sécurisée peut entièrement réinitialisé la logique de verrouillage matériel du module de plateforme sécurisée dans la console de gestion du module de plateforme sécurisée (tpm.msc). Chaque fois qu’un administrateur réinitialise la logique de verrouillage matériel du module de plateforme sécurisée, tous les précédents échecs d’autorisation du module de plateforme sécurisée pour les utilisateurs standard sont ignorés, permettant ainsi aux utilisateurs standard d’utiliser à, nouveau le module de plateforme sécurisée normalement immédiatement. Si cette valeur n’est pas configurée, une valeur par défaut de 9 est utilisée. Une valeur de zéro signifie que le système d’exploitation n’autorise pas les utilisateurs standard à envoyer des commandes au module de plateforme sécurisée pouvant entraîner un échec d’autorisation. Spécifiez les commandes à bloquer en ajoutant leur numéro à la liste. Liste des commandes de module de plateforme sécurisée bloquées : Par exemple, pour bloquer les commandes TPM_OwnerReadInternalPub et TPM_FieldUpgrade, ajoutez les éléments 129 et 170 à la liste. Niveau de l’authentification du module de plateforme sécurisée (TPM) gérée par le système d’exploitation : Durée de comptabilisation en minutes des échecs d’autorisation du module de plateforme sécurisée (TPM) : Nombre maximal d’échecs d’autorisation par période : Nombre maximal d’échecs d’autorisation par période :