Configurar perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas
Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no dispone de un TPM compatible o si BitLocker ya se ha activado con protección TPM.
Importante: esta directiva de grupo solo se aplica a equipos con configuración de firmware UEFI nativa. Los equipos que usan una BIOS o un firmware UEFI con un módulo de servicio de compatibilidad (CSM) habilitado almacenan valores distintos en los registros de configuración de plataforma (PCR). Use la configuración de directiva de grupo "Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basadas en la BIOS" para configurar el perfil de PCR de TPM para equipos con configuraciones de BIOS o firmware UEFI con CSM habilitado.
Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM validará antes de desbloquear el acceso a la unidad del sistema operativo cifrada mediante BitLocker. Si cualquiera de estos componentes cambia mientras la protección del BitLocker permanece activa, el TPM no liberará la clave de cifrado para desbloquear la unidad; en su lugar, el equipo mostrará la consola de recuperación de BitLocker y solicitará que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
Si deshabilita o no establece esta configuración de directiva, el BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación. Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma) comprendidos entre 0 y 23. El perfil de validación de plataforma protege la clave de cifrado de los cambios en el código ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o conectable (PCR 2), el administrador de arranque (PCR 4) y el control de acceso de BitLocker (PCR 11).
Advertencia: el cambio del perfil predeterminado de validación de plataforma afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o no autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR. La configuración de esta directiva con el PCR 7 omitido anulará la directiva de grupo "Permitir arranque seguro para la validación de la integridad" e impedirá que BitLocker use el arranque seguro para validar la integridad de los datos de la configuración de arranque (BCD) o la plataforma.
Compatible con: Al menos Windows 8
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma). Cada índice de PCR se asocia a componentes que se ejecutan cuando se inicia Windows.
Use las casillas para elegir los índices de PCR que se deben incluir en el perfil.
Preste atención cuando cambie esta configuración.
Se recomienda el valor predeterminado de los PCR 0, 2, 4 y 11.
Para que la protección de BitLocker surta efecto, debe incluir el PCR 11.
Consulte la documentación en línea para obtener más información acerca de las ventajas y los riesgos de cambiar el perfil predeterminado de validación de plataforma del TPM.
PCR 0: Código ejecutable del firmware del sistema principal
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: Datos del firmware del sistema principal
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: Código ejecutable extendido o conectable
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: Datos del firmware extendido o conectable
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: Administrador de arranque
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: GPT/tabla de particiones
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: Reanudar desde los eventos de estado de energía S4 y S5
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: Estado de arranque seguro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: Inicializado en 0 sin extensiones (reservado para uso futuro)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 9: Inicializado en 0 sin extensiones (reservado para uso futuro)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 10: Inicializado en 0 sin extensiones (reservado para uso futuro)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 11: Control de acceso de BitLocker
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: Eventos de datos y de volatilidad elevada
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: Detalles del módulo de arranque
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: Autoridades de arranque
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: Reservado para uso futuro
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx