Loading

Architecture et fonctionnement d'une puce TPM

none

La puce TPM est du matériel physique, il y a donc des drivers, des API, un service Windows et un fournisseur WMI pour la piloter. Nous avons ensuite des outils, des consoles et des scripts pour gérer la puce TPM.

La première partie de cet article était une présentation de BitLocker, de WinRe et des outils DaRT, et cela dans une optique d’intégrer ces technologies au sein d’un master Windows 7 via SCCM. Nous avons posé les problématiques auquel un projet de ce type peut faire face. Cette partie va permettre de mettre l’accent sur la puce TPM, le déplacement automatisé de WinRE et l’activation de BitLocker dans SCCM. Here we go !

Ce dossier est issu de notre publication IT Pro Magazine (03/11). Pour consulter les schémas et illustrations associés, rendez-vous dans le club abonnés.


Lorsque nous souhaitons automatiser le déploiement de BitLocker à grande échelle, nous allons devoir gérer l’activation des puces TPM de façon entièrement automatisée et cela sur les différents matériels qu’il y a dans le parc informatique. Activer la puce TPM signifie qu’il faut se plier aux prérequis des constructeurs et cela n’est pas une chose aisée. Voyons tout d’abord comment se déroule l’activation d’une puce TPM.

Il y a officiellement trois étapes de configuration pour que la puce TPM soit opérationnelle, même si cela n’est pas visible à travers Windows ou dans certains BIOS. Les étapes, et dans cet ordre, sont les suivantes : Enable, Activate, OwnerShip. Les étapes Enable et Activate sont parfois confondues. La première étape appelée « Enable » définit si la puce est électriquement active. La deuxième étape dite « Activate » définit si la puce est active au niveau logiciel. Dès que ces deux étapes sont validées, il faut prendre possession de la puce TPM en définissant un mot de passe propriétaire (étape OwnerShip) qu’il est fortement recommandé de sauvegarder. Microsoft recommande par ailleurs de sauvegarder ce mot de passe dans l’Active Directory qu’il est possible d’automatiser à travers une stratégie de groupe (GPO). Dès que cette étape est validée, l’activation de BitLocker est possible.

Comme nous l’avons expliqué en début d’article, il est possible de gérer la puce TPM soit par les fournisseurs WMI (scripts), soit directement par des outils comme ceux des constructeurs, soit à travers la console MMC (tpm.msc), soit à travers l’outil en invite de commandes appelée « Manage-bde » fournit de base avec Windows. Voir figure 1.

Voici pour le principe mais retenons que notre but est d’automatiser intégralement ce processus ! Ce qui est simple d’accomplir est la prise de possession de la puce TPM à travers la commande « manage-bde –tpm –TakeOwnerShip MyPassword ». En revanche, cela n’est pas le cas pour les deux étapes précédentes qui sont des prérequis à la prise de possession de la puce TPM !

Note : Dans le cadre d’une maquette, vous devrez certainement effectuer des tests d’activation de TPM. Pour cela, il vous faudra revenir à un état initial d’activation de TPM à travers la fonctionnalité « Clear TPM » disponible par exemple dans la console MMC. Cette action va supprimer tous les secrets protégés par la puce TPM. Sachez que le renseignement du mot de passe TPM lors du « Clear TPM » vous permettra d’éviter de redémarrer votre poste et de valider cette action dans le BIOS.

Il y a plusieurs exemples concrets de contraintes fréquentes liées à l’activation d’une puce TPM que nous pouvons lister :

  • Mise à jour du BIOS afin de pouvoir accéder aux fonctionnalités d’activation de TPM ;
  • La mise en place d’un mot de passe BIOS est un prérequis pour accéder aux fonctionnalités du BIOS ;
  • Le BIOS ne supporte pas la complexité de mot de passe imposé par la politique d’entreprise (caractères spéciaux non supportés);
  • Un redémarrage est nécessaire entre les étapes d’activation de TPM (DELL généralement), voir même des arrêts électriques (Lenovo);
  • Certains modèles ne possèdent pas d’outils permettant d’activer TPM. Les constructeurs DELL et HP ont travaillé sur le sujet, ce qui n’est pas encore le cas de Lenovo.
  • Une recommandation est de changer l’ordre de Boot afin que le disque dur soit le premier périphérique de démarrage !

Nous reviendrons concrètement sur les moyens techniques qui nous sont offerts par les constructeurs et utilisables à travers SCCM dans la suite de cet article.
 

12
William Bories William Bories - Ingénieur Avant-Vente - Vmware
William Bories est Ingénieur Avant-Vente chez Vmware. Il a auparavant occupé le même poste pendant plusieurs années chez Citrix Systems.
 
Blogger sur iTPro.fr ! Nous sommes constamment à la recherche de nouvelles voix et de nouvelles collaboration éditoriales sur iTPro.fr. Si vous êtes intéressés pour blogger ou écrire pour nous, contactez Sabine Terrey, Directrice de la rédaction, iTPro.fr.
Nous sommes ouverts à tous les thèmes portant sur les services, les solutions et les technologies informatiques d'entreprise. Notre seule condition sera la qualité de votre contribution, quel que soit votre thème de prédilection, actualités, annonces, lancements, stratégie, tutoriaux, trucs et astuces, bonnes pratiques... cette liste n'étant pas exhaustive, stay tuned, au plaisir de collaborer.
 
Découvrez comment créer l'Internet de vos objetsDécouvrez comment créer l'Internet de vos objetsDans ce livre blanc, Microsoft montre comment dépasser les premières appréhensions pour implanter l'Internet de vos objets afin d'obtenir des résultats tangibles qui feront avancer votre entreprise. C'est plus simple que vous ne le pensez. Découvrez maintenant comment exploitez toute la puissance de l'Internet des objets en connectant des systèmes intelligents...Découvrez comment exploiter tout le potentiel de l'internet des objets

Ressources Informatiques

Au cœur de la plateforme IT sécurisée leader de l'ère numérique Découvrez comment permettre l'intégration des analyses opérationnelles, la distribution de services Cloud sécurisés tout en générant des économies…
   IBM | 32 pages
Découvrez les analyses des experts IBM
Optimisez les performances de vos systèmes de stockage Comme pour toute la gamme E-Series de NetApp®, la baie E2700 utilise le logiciel de gestion du stockage SANtricity®, à la fois fiable, léger et facile…
   NetApp | 12 pages
Découvrez l’architecture NetApp E-Series E2700
Découvrez comment créer l'Internet de vos objets Dans ce livre blanc, Microsoft montre comment dépasser les premières appréhensions pour implanter l'Internet de vos objets afin d'obtenir des résultats…
   Microsoft | 8 pages
Découvrez comment exploiter la puissance de l'Internet des objets
Comment optimiser vos infrastructures avec HP ? Découvrez les dernières innovations HP et Intel pour optimiser le rendement et l’efficacité de vos Datacenters, notamment en termes de sécurité…
   HP | 8 pages
Téléchargez le livre blanc des innovations HP Gen 8
Les guides dédiés à la collaboration en entreprise E-mail, IM, partage d’applications, réseaux sociaux d’entreprise, télé présence, le nombre d’outils de communication à disposition n’a jamais…
   Plantronics | 5 pages
Bénéficiez des ressources Plantronics
Comment sécuriser et rationaliser vos infrastructures IT ? Les plates-formes informatiques intégrées (ICP) facilitent le déploiement des infrastructures virtuelles et améliorent le déploiement et la disponibilité…
   ESG | 12 pages
Découvrez les Guides et Vidéos HP Converged System
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Guillaume Rameaux Guillaume Rameaux Journaliste informatique

David Pekmez David Pekmez MVP Exchange Server

Olivier Detilleux Olivier Detilleux Architecte Infrastructure

Vidéos Informatiques

Cloud World Expo 2014 - Axel Haentjens, Vice-Président Cloud Computing, Orange - iTPro.fr« Le marché du cloud n'était nul part il y a deux ans, il a grossi en 2013 et est en plein décollage… Par iTPro.fr

Cloud World Expo 2014 - Jean-Marc Defaut, Directeur Cloud Computing, HP France - iTPro.frEn janvier dernier, Gérald Karsenti, PDG de HP France, se réjouissait de l'omniprésence de sa société… Par iTPro.fr

Arnaud Alcabez, Directeur technique et stratégie, ABC Systèmes - iTPro.FrCinq minutes avec Arnaud Alcabez, Directeur technique et stratégie groupe chez ABC Systèmes, pour… Par iTPro.fr

ROOMn 2014 - Yasmine Abbas, Enterprise account executive, Airwatch - iTPro.frLe monde de la gestion de la mobilité est devenu extrêmement compétitif. La société américaine… Par iTPro.fr

ROOMn 2014 - Arnaud Dupuis, Co-fondateur et CEO de Genymobile - iTPro.frAprès seulement trois ans d'existence, les français de Genymobile ont su imposer leur expertise auprès… Par iTPro.fr

Conseil & Expertise

Bénéficiez de toute l'expertise informatique des magazines,
découvrez les abonnements papiers et leurs compléments
numériques sur Internet via le Club Abonnés.

S'abonner au mensuel IT Pro Magazine pour - 9 € / mois

Déjà abonné à nos magazines informatiques professionnels ?

» Accédez aux services de votre
Club Abonnés sur iTPro.fr