Description du module de cybersécurité TPM

Présentation

Le HMIYMINATPM201 fait partie de la catégorie des modules industriels. Il est compatible avec les modules munis de peu de broches. Le Trusted Platform Module (TPM) est une norme internationale pour cryptoprocesseurs sécurisés, des microcontrôleurs dédiés à la sécurisation du matériel par l'intégration de clés cryptographiques dans les équipements.

A l'aide des cartes mères et du BIOS de l'unité Magelis Box iPC, vous pouvez installer le module TPM et activer le chiffrement avec la fonction Windows BitLocker. Les disques de stockage et le système d'exploitation sont ensuite chiffrés à l'aide de mots de passe et de clés gérés au sein du module matériel.

En fonction de la référence, le module TPM HMIYMINATPM201 peut être monté par défaut conformément à la commande CTO (configured to order) ou rajouté ensuite en tant qu'accessoire facultatif. Le chiffrement est activé à l'aide de la fonction Windows BitLocker.

Insérez le module dans le connecteur de l'unité Box iPC.

Tableau de compatibilité du module

Référence	Description	HMIBMU/HMIBMP	HMIBMI/HMIBMO
HMIYMINATPM201	Module TPM 2.0	Oui⁽¹⁾	Oui
NOTE : (1) Effectuez une mise à niveau vers la version antérieure TPM 1.2.

Photo du module

Box iPC Optimized :

Box iPC Universal/Box iPC Performance :

Installation du module

Avant d'installer ou de retirer une carte mini PCIe, arrêtez le système d'exploitation Windows comme il se doit et débranchez toutes les sources d'alimentation de l'unité.

AVIS

DÉCHARGE ÉLECTROSTATIQUE

Avant d'entreprendre la dépose du cache de l'unité Magelis Industrial PC, prenez toutes les mesures de protection nécessaires contre les décharges électrostatiques.

Le non-respect de ces instructions peut provoquer des dommages matériels.

ATTENTION

ELEMENTS TROP SERRES ET DESSERRES

oNe dépassez pas un couple de serrage de 0,5 Nm (4,5 lb-in) lorsque vous serrez les fixations et les vis de l'enceinte, des accessoires ou du bornier. Un serrage excessif des vis peut endommager les fixations de montage.

oLorsque vous vissez ou retirez des vis, veillez à ce qu'elles ne tombent pas dans le châssis du Magelis Industrial PC.

Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.

NOTE : Coupez l'alimentation avant de suivre cette procédure.

Etape	Action
1	Installez la carte TPM :

Etape	Action
1	Retirez la vis :
2	Installez la carte TPM : Fixez la vis :

Etape

Action

Retirez la vis :

Installez la carte TPM :

Fixez la vis :

Tableau de compatibilité du module TPM

	TPM 1.2	TPM 2.0
Prise en charge du BIOS	Héritée ou avec UEFI	UEFI
Prise en charge de BitLocker	Oui	Oui

NOTE : Le module TPM est équipé du firmware TPM 2.0 par défaut. Mettez-le à niveau vers la version antérieure TPM 1.2 pour l'unité HMIBMU/HMIBMP.

Modèle	BIOS par défaut	TPM 1.2	TPM 2.0
HMIBMU/HMIBMP	Héritée	Prise en charge (mise à niveau nécessaire vers TPM 1.2)	Pas de prise en charge
HMIBMI/HMIBMO	UEFI	Prise en charge	Prise en charge

Fonction BitLocker

BitLocker est une fonction de chiffrement de disques intégrée à Windows. Elle permet de protéger les données en chiffrant des volumes complets. Les systèmes d'exploitation disposent tous de cette fonction. Sous WES7, en revanche, lorsque les partitions System Reserved et C:\ sont combinées, il est impossible de protéger un disque fixe avec BitLocker.

Définition du mot de passe du propriétaire du TPM

NOTE : Le code confidentiel BitLocker doit être saisi sur un clavier lors du démarrage de l'unité. La fonction tactile est en effet désactivée au cours de cette étape.

Etape	Action
1	Sélectionnez Panneau de configuration → Chiffrement de lecteur BitLocker.
2	Cliquez sur Administration du TPM pour modifier le mot de passe du propriétaire.
3	Sélectionnez Modifier le mot de passe du propriétaire.
4	Sélectionnez Créer automatiquement le mot de passe ou Créer manuellement le mot de passe.

NOTE : Au bout de 30 tentatives infructueuses lors de la saisie du mot de passe, le TPM est verrouillé.

A propos du mot de passe du propriétaire du TPM

A partir de Windows 10 version 1607, Windows ne retient pas le mot de passe du propriétaire du TPM lors de la mise en service du TPM. Ce mot de passe est défini sur une valeur aléatoire à entropie élevée, puis supprimé.

Lien Microsoft pertinent : https://docs.microsoft.com/en-us/windows/security/hardware-protection/tpm/change-the-tpm-owner-password

ATTENTION

FONCTIONNEMENT INATTENDU DE L'EQUIPEMENT

Suivez la suggestion de Microsoft. Il est fortement recommandé de ne pas effectuer cette modification. Si vous modifiez la valeur du registre, définissez le mot de passe manuellement. Des effets secondaires ont été constatés et ni Microsoft ni Schneider n'assurent de garantie ou de support technique. Vous devez prendre l'entière responsabilité du résultat de cette modification.

Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.

Activation de BitLocker

NOTE : Le code confidentiel BitLocker doit être saisi sur un clavier lors du démarrage de l'unité. La fonction tactile est en effet désactivée au cours de cette étape.

Etape	Action
1	Sélectionnez Panneau de configuration → Chiffrement de lecteur BitLocker.
2	Cliquez sur Activer BitLocker.
3	Sélectionnez Entrer un code confidentiel, Insérer un lecteur flash USB ou Laisser BitLocker déverrouiller automatiquement mon lecteur. NOTE : Le clavier est nécessaire pour saisir le code confidentiel BitLocker pendant le démarrage de l'unité Box. La fonction tactile est en effet désactivée au cours de cette étape.
4	Saisissez un code confidentiel.
5	Sélectionnez Enregistrer sur votre compte Microsoft, Enregistrer dans un fichier ou Imprimer la clé de récupération.
6	Sélectionnez Ne chiffrer que l'espace disque utilisé ou Chiffrer tout le lecteur.
7	Activez la case d'option Exécuter la vérification du système BitLocker et sélectionnez Continuer.
8	La figure ci-dessous illustre la procédure de chiffrement (Encryption) : Le chiffrement (Encryption) est terminé.

Désactivation de BitLocker

Etape

Action

Sélectionnez Panneau de configuration → Chiffrement de lecteur BitLocker.

Cliquez sur Désactiver BitLocker.

Mise à niveau du module TPM vers une version antérieure

Le module TPM est équipé du firmware TPM 2.0 par défaut. Il doit être mis à niveau vers la version 1.2 pour les références HMIPCCU2B/HMIPCCP2B.

Etape	Action
1	Désactivez le TPM dans le BIOS : 1.Accédez à Advanced > Trusted Computing. 2.Désactivez Security Device Support.
2	Lancez la clé USB de récupération : 1.Lancez la procédure d'amorçage depuis la clé USB. 2.Cliquez sur Cancel pour abandonner la procédure de récupération. Lancez l'outil de mise à niveau du module TPM vers une version antérieure. Appuyez sur Alt + T pour démarrer l'outil de mise à niveau du module TPM vers une version antérieure :
3	Cliquez sur Yes pour démarrer la mise à niveau vers une version antérieure.
4	La mise à niveau vers une version antérieure démarre. A l'issue de la procédure, appuyez sur Entrée pour poursuivre :
5	Cliquez sur OK pour redémarrer le système :
6	Activez le TPM dans le BIOS : 1.Accédez à Advanced > Trusted Computing. 2.Activez Security Device Support.
7	Vérifiez la version du TPM dans Windows : oSélectionnez Control Panel > BitLocker Drive Encryption > TPM Administrator. oAssurez-vous que la version du TPM est bien 1.2.

Procédure de mise à jour du firmware TPM 1.2 pour Windows 7

Etape	Action
1	Cochez la case d'acceptation du contrat de licence.
2	Installez le pilote de récupération du TPM si nécesssaire. NOTE : L'installation peut nécessiter un redémarrage de l'ordinateur.
3	Vérifiez les informations relatives à la plate-forme.
4	Renseignez le champ Owner Password ou le champ Owner Password Backup File si le mot de passe du propriétaire n'est pas géré par le système d'exploitation. Procédez comme suit : oSélectionnez I have the Owner Password Backup File. oSélectionnez le fichier *.tpm. oCliquez sur Next.
5	Effectuez la mise à jour comme indiqué ci-après :
6	Redémarrez votre ordinateur. NOTE : Enregistrez tout votre travail dans toutes les sessions utilisateur avant de redémarrer pour vous assurer de ne pas perdre de données.

Il est recommandé d'effacer et de réinitialiser le TPM après la mise à jour pour les chemins de mise à jour inclus dans cette version du firmware du TPM Infineon. Pour plus d'informations, consultez l'avis de sécurité Microsoft ADV170012 ou rendez-vous à l'adresse www.infineon.com/tpm-update.

AVERTISSEMENT

RISQUE IMPORTANT DE PERTE DE DONNEES

L'effacement du TPM rétablit ses paramètres d'usine. Vous perdez donc toutes les clés que vous avez créées ainsi que les données protégées par ces clés.

Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels.

Procédure de mise à jour du firmware TPM 1.2 pour Windows 8.1

Etape	Action
1	Cochez la case d'acceptation du contrat de licence.
2	Installez le pilote de récupération du TPM si nécesssaire. NOTE : L'installation peut nécessiter un redémarrage de l'ordinateur.
3	Vérifiez les informations relatives à la plate-forme.
4	Effectuez la mise à jour comme indiqué ci-après :
5	Redémarrez votre ordinateur. NOTE : Enregistrez tout votre travail dans toutes les sessions utilisateur avant de redémarrer pour vous assurer de ne pas perdre de données.

AVERTISSEMENT

RISQUE IMPORTANT DE PERTE DE DONNEES

L'effacement du TPM rétablit ses paramètres d'usine. Vous perdez donc toutes les clés que vous avez créées ainsi que les données protégées par ces clés.

Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels.

Mise à jour du Firmware TPM 1.2 pour Windows 10

Si la propriété du TPM a été définie à l'aide de Windows 10^® version 1607 ou supérieure, l'autorisation du propriétaire n'est par défaut plus stockée sur le système local. Reportez-vous au lien Microsoft article pour plus d'informations. Pour mettre à jour le firmware, vous devez effacer le TPM et en reprendre la propriété avec le paramètre Windows modifié. Ainsi, l'autorisation du propriétaire sera stockée sur le système local.

AVERTISSEMENT

RISQUE IMPORTANT DE PERTE DE DONNEES

L'effacement du TPM rétablit ses paramètres d'usine. Vous perdez donc toutes les clés que vous avez créées ainsi que les données protégées par ces clés.

Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels.

Etape	Action
1	Définissez la clé de registre HKLM\Software\Policies\Microsoft\TPM [REG_DWORD] OSManagedAuthLevel sur 4. oSélectionnez Run puis saisissez le texte regedit comme indiqué ci-après : Cliquez sur OK oRemplacez la valeur par 4 pour OSManagedAuthLevel . Cliquez sur OK
2	Démarrez tpm.msc et cliquez sur Clear TPM....
3	Redémarrez l'ordinateur. NOTE : Enregistrez tout votre travail dans toutes les sessions utilisateur avant de redémarrer l'ordinateur pour vous assurer de ne pas perdre de données.
4	Démarrez tpm.msc et cliquez sur Prepare the TPM....
5	Attendez que Windows reprépare le TPM (Windows mémorise l'autorisation du propriétaire sur le système local). Lorsque la préparation est terminée, le champ d'état de tpm.msc affiche The TPM is ready.
6	Exécutez l'outil de mise à jour du firmware du TPM comme indiqué ci-après :
7	Redémarrez l'ordinateur. NOTE : Enregistrez tout votre travail dans toutes les sessions utilisateur avant de redémarrer l'ordinateur pour vous assurer de ne pas perdre de données.
8	Rétablissez l'ancienne valeur de la clé de registre HKLM\Software\Policies\Microsoft\TPM [REG_DWORD] OSManagedAuthLevel, à savoir 2. Cliquez sur OK
9	Démarrez tpm.msc et cliquez sur Clear TPM....
10	Redémarrez l'ordinateur. NOTE : Enregistrez tout votre travail dans toutes les sessions utilisateur avant de redémarrer l'ordinateur pour vous assurer de ne pas perdre de données.
11	Démarrez tpm.msc et cliquez sur Prepare the TPM....
12	Attendez que Windows reprépare le TPM (avec les mesures de sécurité de Windows 10). Lorsque la préparation est terminée, tpm.msc affiche The TPM is ready for use dans le champ d'état. Assurez-vous que la version fabricant est bien 4.43.