TPM-Plattformvalidierungsprofil für Konfigurationen mit systemeigener UEFI-Firmware konfigurieren

Mithilfe dieser Richtlinieneinstellung können Sie die Sicherung des BitLocker-Verschlüsselungsschlüssels durch die Sicherheitshardware Trusted Platform Module (TPM) konfigurieren. Verfügt der Computer nicht über ein kompatibles TPM oder wurde BitLocker bereits mit TPM-Schutz aktiviert, gilt diese Richtlinieneinstellung nicht.

Wichtig: Diese Gruppenrichtlinie gilt nur für Computer mit systemeigener UEFI-Firmware. Bei Computern mit BIOS oder UEFI-Firmware mit aktiviertem CSM (Compatibility Service Module) werden andere Werte in den Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) gespeichert. Verwenden Sie die Gruppenrichtlinieneinstellung "TPM-Plattformvalidierungsprofil für Konfigurationen mit BIOS-basierter Firmware konfigurieren", um das TPM PCR-Profil für Computer mit BIOS-Konfiguration bzw. Computer mit UEFI-Firmware und einem aktivierten CSM zu konfigurieren.

Wenn Sie diese Richtlinieneinstellung vor BitLocker aktivieren, können Sie die vom TPM vor der Entsperrung des BitLocker-verschlüsselten Betriebssystemlaufwerks überprüften Startkomponenten konfigurieren. Tritt an einer dieser Komponenten während des BitLocker-Schutzes eine Änderung auf, wird der Verschlüsselungsschlüssel zum Entsperren des Laufwerks vom TPM nicht freigegeben und stattdessen die BitLocker-Wiederherstellungskonsole angezeigt. Zum Entsperren des Laufwerks muss dann entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel eingegeben werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird von BitLocker das zugehörige Standard-Plattformvalidierungsprofil oder das über das Setupskript vorgegebene Validierungsprofil verwendet. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) von 0 bis 23. Das Standard-Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an dem ausführbaren Code der Hauptsystemfirmware (PCR 0), am erweiterten ausführbaren Code bzw. am ausführbaren Pluggable-Code (PCR 2), am Start-Manager (PCR 4) und an der BitLocker-Zugriffssteuerung (PCR 11).

Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformmodifikationen (böswillig oder autorisiert) nimmt je nachdem, ob PCRs eingefügt oder ausgeschlossen werden, zu oder ab. Insbesondere führt die Konfiguration dieser Richtlinie unter Ausschließen von PCR 7 dazu, dass die Richtlinie "Sicheren Start für Integritätsprüfung zulassen" außer Kraft gesetzt wird. Somit kann "Sicherer Start" von BitLocker nicht zur Überprüfung der Integrität der Plattform oder der Startkonfigurationsdaten (Boot Configuration Data, BCD) verwendet werden.

Unterstützt auf: Mindestens Windows 8

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	Enabled
Value Type	REG_DWORD
Enabled Value	1
Disabled Value	0

Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verknüpft, die beim Start von Windows ausgeführt werden.

Wählen Sie die in das Profil einzuschließenden PCR-Indizes mithilfe der Kontrollkästchen unten aus.

Gehen Sie beim Ändern dieser Einstellung vorsichtig vor.

Es werden die Standard-PCRs 0, 2, 4 und 11 empfohlen.

Damit der BitLocker-Schutz aktiviert wird, müssen Sie PCR 11 einschließen.

Weitere Informationen zu den Vorteilen und Risiken, die Änderungen am standardmäßigen TPM-Plattformvalidierungsprofil verursachen können, finden Sie in der Onlinedokumentation.

PCR 0: Ausführbarer Code der Hauptsystemfirmware

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	0
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 1: Hauptsystem-Firmwaredaten

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	1
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 2: Erweiterter ausführbarer Code bzw. ausführbarer Pluggable-Code

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	2
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 3: Erweiterte oder Pluggable-Firmwaredaten

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	3
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 4: Start-Manager

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	4
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 5: GPT-/Partitionstabelle

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	5
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 6: Wiederaufnahme nach Energiezustandsereignis S4 oder S5

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	6
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 7: Zustand des sicheren Starts

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	7
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 8: Auf 0 initialisiert ohne Erweiterung (für künftige Verwendung reserviert)

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	8
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 9: Auf 0 initialisiert ohne Erweiterung (für künftige Verwendung reserviert)

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	9
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 10: Auf 0 initialisiert ohne Erweiterung (für künftige Verwendung reserviert)

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	10
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 11: BitLocker-Zugriffssteuerung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	11
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 12: Daten- und hochflüchtige Ereignisse

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	12
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 13: Einzelheiten zu Startmodul

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	13
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 14: Startautoritäten

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	14
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 15: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	15
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 16: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	16
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 17: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	17
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 18: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	18
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 19: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	19
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 20: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	20
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 21: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	21
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 22: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	22
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 23: Reserviert für zukünftige Verwendung

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name	23
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

bitlockermanagement.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)

Windows-Komponenten
- MDOP MBAM (BitLocker Management)
  - Ermöglicht die Freistellung eines Benutzers von der BitLocker-Verschlüsselung
- Microsoft User Experience Virtualization