TPM-Plattformvalidierungsprofil für Konfigurationen mit BIOS-basierter Firmware konfigurieren
Mithilfe dieser Richtlinieneinstellung können Sie die Sicherung des BitLocker-Verschlüsselungsschlüssels durch die Sicherheitshardware Trusted Platform Module (TPM) konfigurieren. Verfügt der Computer nicht über ein kompatibles TPM oder wurde BitLocker bereits mit TPM-Schutz aktiviert, gilt diese Richtlinieneinstellung nicht.
Wichtig: Diese Gruppenrichtlinie gilt nur für Computer mit BIOS-Konfiguration bzw. solche mit UEFI-Firmware und einem aktivierten CSM (Compatibility Service Module). Bei Computern mit systemeigener UEFI-Firmware werden andere Werte in den Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) gespeichert. Verwenden Sie die Gruppenrichtlinieneinstellung "TPM-Plattformvalidierungsprofil für Konfigurationen mit systemeigener UEFI-Firmware konfigurieren", um das TPM PCR-Profil für Computer mit systemeigener UEFI-Firmware zu konfigurieren.
Wenn Sie diese Richtlinieneinstellung vor BitLocker aktivieren, können Sie die vom TPM vor der Entsperrung des BitLocker-verschlüsselten Betriebssystemlaufwerks überprüften Startkomponenten konfigurieren. Tritt an einer dieser Komponenten während des BitLocker-Schutzes eine Änderung auf, wird der Verschlüsselungsschlüssel zum Entsperren des Laufwerks vom TPM nicht freigegeben und stattdessen die BitLocker-Wiederherstellungskonsole angezeigt. Zum Entsperren des Laufwerks muss dann entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel eingegeben werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird von BitLocker das zugehörige Standard-Plattformvalidierungsprofil oder das über das Setupskript vorgegebene Validierungsprofil verwendet. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) von 0 bis 23. Das Standard-Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen (PCR 0), an Options-ROM-Codes (PCR 2), MBR-Code (Master Boot Record, PCR 4), NTFS-Startsektor (PCR 8), NTFS-Startblock (PCR 9), NTFS-Start-Manager (PCR 10) und BitLocker-Zugriffssteuerung (PCR 11).
Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformmodifikationen (böswillig oder autorisiert) nimmt je nachdem, ob PCRs eingefügt oder ausgeschlossen werden, zu oder ab.
Unterstützt auf: Mindestens Windows 8
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verknüpft, die beim Start von Windows ausgeführt werden.
Wählen Sie die in das Profil einzuschließenden PCR-Indizes mithilfe der Kontrollkästchen unten aus.
Gehen Sie beim Ändern dieser Einstellung vorsichtig vor.
Es werden die Standard-PCRs 0, 2, 4, 8, 9, 10 und 11 empfohlen.
Damit der BitLocker-Schutz aktiviert wird, müssen Sie PCR 11 einschließen.
Weitere Informationen zu den Vorteilen und Risiken, die Änderungen am standardmäßigen TPM-Plattformvalidierungsprofil verursachen können, finden Sie in der Onlinedokumentation.
PCR 0: CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: Options-ROM-Code
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: Options-ROM-Konfiguration und -Daten
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: MBR-Code (Master Boot Record)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: MBR-Partitionstabelle (Master Boot Record)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: Statusübergangs- und Reaktivierungsereignisse
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: Computerherstellerspezifisch
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
CR 8: NTFS-Startsektor
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 9: NTFS-Startblock
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 10: Start-Manager
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 11: BitLocker-Zugriffssteuerung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: Reserviert für zukünftige Verwendung
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx