Comment empêcher le TPM LockoutCount de passer à 32 à cause d'un arrêt inattendu de la batterie ?

Windows Client (10, 11, 12) Windows 11
1

Un arrêt de l’ordinateur dû à une panne de batterie sur mon ordinateur portable (MSI GS76 Stealth 11UH (miroir)) provoque un verrouillage du TPM car l’arrêt fait passer le TPM LockoutCount à 32 et le TPM LockoutMax est de 32.

En conséquence, je dois attendre deux heures pour que le verrouillage du TPM se termine car le LockoutHealTime est réglé à 2 heures.

Comment puis-je empêcher le TPM LockoutCount de passer à 32 à cause d’un arrêt inattendu de la batterie ? J’utilise Windows 11 24H2 Pro.

Quand j’exécute Get-Tpm dans une session PowerShell élevée après un arrêt inattendu de la batterie, je vois que la valeur LockoutCount est passée à 32 :

(base) PS C:\WINDOWS\system32> Get-Tpm
TpmPresent                : True
TpmReady                  : True
TpmEnabled                : True
TpmActivated              : True
TpmOwned                  : True
RestartPending            : True
ManufacturerId            : 1229870147
PpiVersion                : 1.3
ManufacturerIdTxt         : INTC
ManufacturerVersion       : 600.7.0.0
ManufacturerVersionFull20 : 600.7.0.0
ManagedAuthLevel          : Full
OwnerAuth                 :
OwnerClearDisabled        : False
AutoProvisioning          : Enabled
LockedOut                 : True
LockoutHealTime           : 2 hours
LockoutCount              : 32
LockoutMax                : 32
SelfTest                  : {}

Question de suivi : Comment configurer Windows pour conserver le mot de passe propriétaire du TPM lors de l’installation de Windows ?

Source : Super User

2

Le TPM est profondément intégré au micrologiciel, ainsi qu’à Windows, à la fois pour protéger le PC et pour protéger contre l’abus de DRM. Pour cette raison, le contrôle du TPM est intentionnellement gardé hors de portée des utilisateurs, à moins que l’on possède le mot de passe propriétaire.

Microsoft indique, « Si votre TPM est en mode verrouillé… vous pouvez réinitialiser la valeur de verrouillage en utilisant les procédures suivantes. La réinitialisation du verrouillage du TPM nécessite l’autorisation du propriétaire du TPM. Cette valeur n’est plus conservée. » Donc, si vous n’aviez pas « configuré Windows pour conserver le mot de passe propriétaire du TPM » lors de l’installation de Windows, alors cette option n’est pas disponible.

Pour l’avenir, vous pouvez utiliser la stratégie de groupe pour gérer les paramètres de verrouillage du TPM. La GPO a des valeurs pour la durée de verrouillage standard et individuelle. Notez que le temps de verrouillage est spécifié en minutes.

Quant à l’incrémentation du compteur d’échecs TPM à 32, je suppose que quel que soit le nombre que vous définissez pour le seuil de verrouillage de la GPO, il serait dépassé lors d’une panne de batterie, donc augmenter ce nombre pourrait en fait augmenter le délai d’attente pour que le compteur diminue.

Au moins vous retrouverez l’usage de la machine après quelques heures, contrairement à la rendre complètement inutilisable.