配置 TPM 平台验证配置文件

此策略设置的用途是，配置计算机的受信任的平台模块(TPM)安全硬件如何保护 BitLocker 加密密钥。如果计算机没有兼容的 TPM 或者 BitLocker 已在 TPM 保护方式下打开，则此策略设置不适用。如果在打开 BitLocker 之前启用此策略设置，则可以配置在解锁对 BitLocker 加密的操作系统驱动器的访问之前 TPM 将验证的引导组件。如果其中的任何组件在 BitLocker 保护生效时发生了变化，TPM 将不会发放用于解锁驱动器的加密密钥，而计算机将显示 BitLocker 恢复控制台，并要求提供恢复密码或恢复密钥来解锁驱动器。如果禁用或未配置此策略设置，则 TPM 将使用默认的平台验证配置文件或由安装脚本指定的平台验证配置文件。平台验证配置文件由一组从 0 到 23 的平台配置注册表(PCR)索引组成。默认的平台验证配置文件对加密密钥进行保护，以免可信度测量的核心根(CRTM)、BIOS 和平台扩展(PCR 0)、可选 ROM 代码(PCR 2)、主启动记录(MBR)代码(PCR 4)、NTFS 引导扇区(PCR 8)、NTFS 引导块(PCR 9)、引导管理器(PCR 10)以及 BitLocker 访问控制(PCR 11)遭到更改。对于使用可扩展固件接口(EFI)的计算机，其 PCR 设置的描述不同于使用标准 BIOS 的计算机的 PCR 设置描述。警告: 默认的平台验证配置文件的变化会影响计算机的安全性和可管理性。BitLocker 对平台修改(恶意或授权)的敏感度会增加或减小，具体取决于是包含还是排除(分别会影响到敏感度) PCR。

支持的平台: MicrosoftWindows7

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	Enabled
Value Type	REG_DWORD
Enabled Value	1
Disabled Value	0

平台验证配置文件由一组平台配置注册表(PCR)索引组成。每个 PCR 索引都与 Windows 启动时运行的组件关联。

使用下列复选框选择要包含在配置文件中的 PCR 索引。

更改此设置时，务必小心。

建议 PCR 的默认值为 0、2、4、8、9、10 和 11。

对于要生效的 BitLocker 保护，必须包括 PCR 11。

有关更改默认 TPM 平台验证配置文件的好处与风险的详细信息，请参阅联机文档。

PCR 0: 可信度测量的核心根(CRTM)、BIOS 和平台扩展

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	0
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 1: 平台和主板配置及数据

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	1
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 2: 可选 ROM 代码

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	2
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 3: 可选 ROM 配置和数据

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	3
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 4: 主启动记录(MBR)代码

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	4
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 5: 主启动记录(MBR)分区表

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	5
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 6: 状态转换和唤醒事件

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	6
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 7: 特定于制造商的计算机

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	7
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 8: NTFS 引导扇区

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	8
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 9: NTFS 启动块

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	9
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 10: 启动管理器

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	10
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 11: BitLocker 访问控制

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	11
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 12: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	12
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 13: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	13
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 14: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	14
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 15: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	15
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 16: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	16
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 17: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	17
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 18: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	18
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 19: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	19
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 20: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	20
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 21: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	21
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 22: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	22
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 23: 保留以供将来使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	23
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

bitlockermanagement.admx

管理模板(计算机)

管理模板(用户)

Windows 组件
- MDOP MBAM (BitLocker 管理)
  - 允许用户免除 BitLocker 加密
- Microsoft User Experience Virtualization