設定原生 UEFI 韌體組態的 TPM 平台驗證設定檔
這個原則設定可讓您設定電腦的信賴平台模組 (TPM) 安全性硬體保護 BitLocker 加密金鑰的方式。如果電腦不含相容的 TPM,或是已開啟具有 TPM 保護的 BitLocker,則這個原則設定不適用。 重要: 這個群組原則只適用於具有原生 UEFI 韌體組態的電腦。具有 BIOS 或配備已啟用相容性服務模組 (CSM) 之 UEFI 韌體的電腦會將不同的值儲存到平台設定暫存器 (PCR)。請使用「設定 BIOS 型韌體組態的 TPM 平台驗證設定檔」群組原則設定,針對具有 BIOS 設定的電腦或配備已啟用 CSM 之 UEFI 韌體的電腦,設定 TPM PCR 設定檔。 如果在開啟 BitLocker 前啟用這個原則設定,您可以設定 TPM 在解除鎖定對 BitLocker 加密作業系統磁碟機的存取之前所驗證的開機元件。如果在 BitLocker 保護有效的狀態下,對其中任一元件進行變更,TPM 將不會釋出解除鎖定磁碟機的加密金鑰,而是電腦將顯示 BitLocker 修復主控台,並要求提供修復密碼或修復金鑰,以解除鎖定磁碟機。 如果停用或未設定這個原則設定,BitLocker 會使用預設的平台驗證設定檔或安裝指令碼所指定的平台驗證設定檔。平台驗證設定檔由一組平台設定暫存器 (PCR) 索引組成,範圍從 0 到 23。預設的平台驗證設定檔可保護加密金鑰,防止變更核心系統韌體可執行程式碼 (PCR 0)、延伸或插入式可執行程式碼 (PCR 2)、開機管理程式 (PCR 4) 以及 BitLocker 存取控制 (PCR 11)。 警告: 對預設平台驗證設定檔進行變更將會影響電腦的安全性及管理性。BitLocker 對 (惡意或授權的) 平台修改敏感度的增加或減少,需視其包含或排除 (分別) 的 PCR 項目而定。具體而言,若設定此原則時省略 PCR 7 ,將會覆寫「允許安全開機以進行完整性確認」群組原則,導致 BitLocker 無法使用安全開機進行平台或開機設定資料 (BCD) 完整性確認。
支援的作業系統: 至少需要 Windows Server 2012 或 Windows 8
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
平台驗證設定檔由一組平台設定暫存器 (PCR) 索引組成。每個 PCR 索引與 Windows 啟動時執行的元件相關聯。
使用下列核取方塊選擇要包括在設定檔中的 PCR 索引。
變更此設定時請務必小心謹慎。
建議使用預設的 PCR 0、2、4 及 11。
若要讓 BitLocker 保護生效,必須包含 PCR 11。
如需有關變更預設 TPM 平台驗證設定檔之優點和風險的詳細資訊,請參閱線上文件。
PCR 0: 核心系統韌體可執行程式碼| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: 核心系統韌體資料| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: 延伸或插入式可執行程式碼| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: 延伸或插入式韌體資料| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: 開機管理程式| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: GPT / 磁碟分割表格| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: 從 S4 和 S5 電源狀態事件繼續| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: 安全開機狀態| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: 初始化為 0 且無延伸 (保留供以後使用)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 9: 初始化為 0 且無延伸 (保留供以後使用)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 10: 初始化為 0 且無延伸 (保留供以後使用)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 11: BitLocker 存取控制| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: 資料事件及高變動事件| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: 開機模組詳細資料| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: 開機授權單位| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: 保留供以後使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx
- Windows 元件
- MDOP MBAM (BitLocker Management)
- 作業系統磁碟機
- 卸除式磁碟機
- 固定磁碟機
- 用戶端管理
- 為組織提供唯一識別碼
- 選擇磁碟機加密方法和加密強度 (Windows 10 [版本 1511] 與更新的版本)
- 選擇磁碟機加密方法和加密強度
- 重新啟動時防止記憶體覆寫
- 驗證智慧卡憑證使用規則相符性
- Microsoft User Experience Virtualization
- Windows 應用程式
- 應用程式
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer 通用設定
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 通用 2013
- Microsoft Office 2010 通用設定
- Microsoft Office 2013 上傳中心
- Microsoft Office 2013 通用設定
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- Microsoft 商務用 OneDrive 2013
- WordPad
- 僅限 Access 2013 備份
- 僅限 Excel 2013 備份
- 僅限 InfoPath 2013 備份
- 僅限 Lync 2013 備份
- 僅限 OneNote 2013 備份
- 僅限 Outlook 2013 備份
- 僅限 PowerPoint 2013 備份
- 僅限 Project 2013 備份
- 僅限 Publisher 2013 備份
- 僅限 Visio 2013 備份
- 僅限 Word 2013 備份
- 僅限通用 2013 備份
- 小算盤
- 記事本
- VDI 設定
- 不同步處理 Windows 應用程式
- 使用 User Experience Virtualization (UE-V)
- 即使在漫遊,也透過計量付費連線同步設定
- 同步 Windows 設定
- 同步處理未列出的 Windows 應用程式
- 同步處理逾時
- 在同步前偵測設定儲存位置
- 系統匣圖示
- 設定儲存路徑
- 設定同步方法
- 設定封裝大小警告閾值
- 設定範本類別目錄路徑
- 透過計量付費連線同步設定
- 連絡 IT URL
- 連絡 IT 連結文字
- 首次使用通知
- MDOP MBAM (BitLocker Management)
- 系統
- App-V
- CEIP
- 串流
- 報告
- 指令碼處理
- 整合
- 用戶端共存
- 發佈
- 虛擬化
- App-V
- Windows 元件
- MDOP MBAM (BitLocker Management)
- Microsoft User Experience Virtualization
- Windows 應用程式
- 應用程式
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer 通用設定
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 通用 2013
- Microsoft Office 2010 通用設定
- Microsoft Office 2013 上傳中心
- Microsoft Office 2013 通用設定
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- Microsoft 商務用 OneDrive 2013
- WordPad
- 僅限 Access 2013 備份
- 僅限 Excel 2013 備份
- 僅限 InfoPath 2013 備份
- 僅限 Lync 2013 備份
- 僅限 OneNote 2013 備份
- 僅限 Outlook 2013 備份
- 僅限 PowerPoint 2013 備份
- 僅限 Project 2013 備份
- 僅限 Publisher 2013 備份
- 僅限 Visio 2013 備份
- 僅限 Word 2013 備份
- 僅限通用 2013 備份
- 小算盤
- 記事本
- VDI 設定
- 不同步處理 Windows 應用程式
- 使用 User Experience Virtualization (UE-V)
- 即使在漫遊,也透過計量付費連線同步設定
- 同步 Windows 設定
- 同步處理逾時
- 在同步前偵測設定儲存位置
- 設定儲存路徑
- 設定同步方法
- 設定封裝大小警告閾值
- 透過計量付費連線同步設定