Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de micrologiciel UEFI
Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l'ordinateur sécurise la clé de chiffrement de BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur n'a pas de module de plateforme sécurisée compatible ou si BitLocker a déjà été activé avec la protection du module de plateforme sécurisée.
Important : cette stratégie de groupe ne s'applique qu'aux ordinateurs avec une configuration de microprogramme UEFI native. Les ordinateurs avec microprogramme BIOS ou UEFI avec CSM (Compatibility Service Module) activé mémorisent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de micrologiciel BIOS » pour configurer le profil PCR du module de plateforme sécurisée pour les ordinateurs avec des configurations BIOS ou des ordinateurs avec micrologiciel UEFI avec CSM activé.
Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage qui seront validés par le module de plateforme sécurisée avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur et l'ordinateur affiche la console de récupération BitLocker et demande un mot de passe ou une clé de récupération pour déverrouiller le lecteur.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou celui spécifié par le script d'installation. Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR, Platform Configuration Register) allant de 0 à 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées au code exécutable du micrologiciel du système principal (PCR 0), au code exécutable enfichable ou étendu (PCR 2), au gestionnaire de démarrage (PCR 10) et au contrôle d'accès BitLocker (PCR 11).
Avertissement : la modification du profil par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) augmente ou diminue en fonction de l'inclusion ou de l'exclusion (respectivement) des registres de configuration de plateforme (PCR). Plus précisément, si cette stratégie est définie sans PCR 7, la stratégie de groupe « Autoriser le démarrage sécurisé pour la validation d'intégrité » sera ignorée, empêchant ainsi BitLocker d'utiliser Démarrage sécurisé pour la plateforme ou la validation d'intégrité Données de configuration de démarrage (BCD).
Pris en charge sur : Au minimum Windows 8
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s'exécutent au démarrage de Windows.
Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil.
Soyez prudent lors de la modification de ce paramètre.
Le profil constitué des registres de configuration de plateforme (PCR) 0, 2, 4 et 11 est recommandé.
Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11.
Consultez la documentation en ligne pour plus d'informations sur les avantages et les risques liés à la modification du profil de validation de plateforme du module de plateforme sécurisée.
PCR 0 : code exécutable du micrologiciel du système central
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1 : données du micrologiciel du système central
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2 : code exécutable enfichable ou étendu
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3 : données de micrologiciel enfichables ou étendues
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4 : Gestionnaire de démarrage
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5 : GPT / Table de partition
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6 : reprendre depuis les événements États d'alimentation S4 et S5
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7 : état du démarrage sécurisé
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8 : initialisé sur 0 sans étendues (réservé pour une utilisation ultérieure)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 9 : initialisé sur 0 sans étendues (réservé pour une utilisation ultérieure)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 10 : initialisé sur 0 sans étendues (réservé pour une utilisation ultérieure)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 11 : Contrôle d'accès BitLocker
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12 : événements de données et événements très volatils
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13 : détails du module de démarrage
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14 : autorités de démarrage
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23 : Réservé pour un usage futur
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx