Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basadas en la BIOS

Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no dispone de un TPM compatible o si BitLocker ya se ha activado con protección TPM.

Importante: esta directiva de grupo solo se aplica a equipos con configuraciones de BIOS o firmware UEFI que tengan un módulo de servicio de compatibilidad (CSM) habilitado. Los equipos que usan una configuración de firmware UEFI nativa almacenan valores distintos en los registros de configuración de plataforma (PCR). Use la configuración de directiva de grupo "Configurar perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" para configurar el perfil de PCR de TPM para equipos que usen firmware UEFI nativo.

Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM validará antes de desbloquear el acceso a la unidad del sistema operativo cifrada mediante BitLocker. Si cualquiera de estos componentes cambia mientras la protección del BitLocker permanece activa, el TPM no liberará la clave de cifrado para desbloquear la unidad; en su lugar, el equipo mostrará la consola de recuperación de BitLocker y solicitará que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.

Si deshabilita o no establece esta configuración de directiva, el BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación. Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma) comprendidos entre 0 y 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado de los cambios en CRTM (Core Root of Trust of Measurement), BIOS y extensiones de la plataforma (PCR 0), Código ROM de opción (PCR 2), Código de registro de arranque maestro (MBR) (PCR 4), Sector de arranque de NTFS (PCR 8), Bloque de arranque de NTFS (PCR 9), Administrador de arranque (PCR 10) y Control de acceso de BitLocker (PCR 11).

Advertencia: el cambio del perfil predeterminado de validación de plataforma afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o no autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Compatible con: Al menos Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma). Cada índice de PCR se asocia a componentes que se ejecutan cuando se inicia Windows.

Use las casillas para elegir los índices de PCR que se deben incluir en el perfil.

Preste atención cuando cambie esta configuración.

Se recomienda el valor predeterminado de los PCR 0, 2, 4, 8, 9, 10 y 11.

Para que la protección de BitLocker surta efecto, debe incluir el PCR 11.

Consulte la documentación en línea para obtener más información acerca de las ventajas y los riesgos de cambiar el perfil predeterminado de validación de plataforma del TPM.

PCR 0: CRTM (Core Root of Trust of Measurement), BIOS y extensiones de la plataforma
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Configuración y datos de la placa base y la plataforma
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Código ROM de opción
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Configuración y datos de ROM de opción
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Código de registro de arranque maestro (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Tabla de particiones de registro de arranque maestro (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Eventos de activación y transición de estado
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Específico del fabricante del equipo
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Sector de arranque de NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: Bloque de arranque de NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Administrador de arranque
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: Control de acceso de BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reservado para uso futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Plantillas administrativas (equipos)

Plantillas administrativas (usuarios)