为基于 BIOS 的固件配置而配置 TPM 平台验证配置文件
此策略设置的用途是,配置计算机的受信任的平台模块(TPM)安全硬件如何保护 BitLocker 加密密钥。如果计算机没有兼容的 TPM 或者 BitLocker 已在 TPM 保护方式下打开,则此策略设置不适用。 重要: 此组策略仅应用到具有 BIOS 配置的计算机,或者具有已启用"兼容性服务模块"(CSM)的 UEFI 固件的计算机。使用原生 UEFI 固件配置的计算机将不同的值存储到平台配置注册表(PCR)中。对于使用原生 UEFI 固件的计算机,请使用"为原生 UEFI 固件配置而配置 TPM 平台验证配置文件"组策略设置来配置 TPM PCR 配置文件。 如果在打开 BitLocker 之前启用此策略设置,则可以配置在解锁对 BitLocker 加密的操作系统驱动器的访问之前 TPM 将验证的引导组件。如果其中的任何组件在 BitLocker 保护生效时发生了变化,TPM 将不会发放用于解锁驱动器的加密密钥,而计算机将显示 BitLocker 恢复控制台,并要求提供恢复密码或恢复密钥来解锁驱动器。 如果禁用或未配置此策略设置,则 BitLocker 将使用默认的平台验证配置文件或由安装脚本指定的平台验证配置文件。平台验证配置文件由一组从 0 到 23 的平台配置注册表(PCR)索引组成。默认的平台验证配置文件对加密密钥进行保护,以免可信度测量的核心根(CRTM)、BIOS 和平台扩展(PCR 0)、可选 ROM 代码(PCR 2)、主启动记录(MBR)代码(PCR 4)、NTFS 引导扇区(PCR 8)、NTFS 引导块(PCR 9)、引导管理器(PCR 10)以及 BitLocker 访问控制(PCR 11)遭到更改。 警告: 默认的平台验证配置文件的变化会影响计算机的安全性和可管理性。BitLocker 对平台修改(恶意或授权)的敏感度会增加或减小,具体取决于是包含还是排除(分别会影响到敏感度) PCR。
支持的平台: 至少 Windows Server 2012 或 Windows 8
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
平台验证配置文件由一组平台配置注册表(PCR)索引组成。每个 PCR 索引都与 Windows 启动时运行的组件关联。
使用下列复选框选择要包含在配置文件中的 PCR 索引。
更改此设置时,务必小心。
建议 PCR 的默认值为 0、2、4、8、9、10 和 11。
对于要生效的 BitLocker 保护,必须包括 PCR 11。
有关更改默认 TPM 平台验证配置文件的好处与风险的详细信息,请参阅联机文档。
PCR 0: 可信度测量的核心根(CRTM)、BIOS 和平台扩展| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: 平台和主板配置及数据| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: 可选 ROM 代码| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: 可选 ROM 配置和数据| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: 主启动记录(MBR)代码| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: 主启动记录(MBR)分区表| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: 状态转换和唤醒事件| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: 特定于制造商的计算机| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: NTFS 引导扇区| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 9: NTFS 启动块| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 10: 启动管理器| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 11: BitLocker 访问控制| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: 保留以供将来使用| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx
- Windows 组件
- MDOP MBAM (BitLocker 管理)
- 可移动驱动器
- 固定驱动器
- 客户端管理
- 操作系统驱动器
- 为组织提供唯一标识符
- 禁止在重新启动时覆盖内存
- 选择驱动器加密方法和密码长度(Windows 10 [版本 1511]及更高版本)
- 选择驱动器加密方法和密码长度
- 验证智能卡证书使用合规性
- Microsoft User Experience Virtualization
- Windows 应用
- 应用程序
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer 通用设置
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Common 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 2010 通用设置
- Microsoft Office 2013 上载中心
- Microsoft Office 2013 通用设置
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- 仅限 Access 2013 备份
- 仅限 Common 2013 备份
- 仅限 Excel 2013 备份
- 仅限 InfoPath 2013 备份
- 仅限 Lync 2013 备份
- 仅限 OneNote 2013 备份
- 仅限 Outlook 2013 备份
- 仅限 PowerPoint 2013 备份
- 仅限 Project 2013 备份
- 仅限 Publisher 2013 备份
- 仅限 Visio 2013 备份
- 仅限 Word 2013 备份
- 写字板
- 计算器
- 记事本
- "与 IT 联系"URL
- "与 IT 联系"链接文本
- VDI 配置
- 不同步 Windows 应用
- 使用 User Experience Virtualization (UE-V)
- 即使在漫游时也通过按流量计费的连接同步设置
- 同步 Windows 设置
- 同步未列出的 Windows 应用
- 同步超时
- 在同步前 ping 设置存储位置
- 托盘图标
- 设置包大小的警告阈值
- 设置存储路径
- 设置模板目录路径
- 通过按流量计费的连接同步设置
- 配置同步方法
- 首次使用通知
- MDOP MBAM (BitLocker 管理)
- 系统
- App-V
- CEIP
- 发布
- 客户端共存
- 报告
- 流式处理
- 脚本
- 虚拟化
- 集成
- App-V
- Windows 组件
- MDOP MBAM (BitLocker 管理)
- Microsoft User Experience Virtualization
- Windows 应用
- 应用程序
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer 通用设置
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Common 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 2010 通用设置
- Microsoft Office 2013 上载中心
- Microsoft Office 2013 通用设置
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- 仅限 Access 2013 备份
- 仅限 Common 2013 备份
- 仅限 Excel 2013 备份
- 仅限 InfoPath 2013 备份
- 仅限 Lync 2013 备份
- 仅限 OneNote 2013 备份
- 仅限 Outlook 2013 备份
- 仅限 PowerPoint 2013 备份
- 仅限 Project 2013 备份
- 仅限 Publisher 2013 备份
- 仅限 Visio 2013 备份
- 仅限 Word 2013 备份
- 写字板
- 计算器
- 记事本
- VDI 配置
- 不同步 Windows 应用
- 使用 User Experience Virtualization (UE-V)
- 即使在漫游时也通过按流量计费的连接同步设置
- 同步 Windows 设置
- 同步超时
- 在同步前 ping 设置存储位置
- 设置包大小的警告阈值
- 设置存储路径
- 通过按流量计费的连接同步设置
- 配置同步方法