TPM-Plattformvalidierungsprofil konfigurieren

Mithilfe dieser Richtlinieneinstellung können Sie die Sicherung des BitLocker-Verschlüsselungsschlüssels durch die Sicherheitshardware Trusted Platform Module (TPM) konfigurieren. Verfügt der Computer nicht über ein kompatibles TPM oder wurde BitLocker bereits mit TPM-Schutz aktiviert, gilt diese Richtlinieneinstellung nicht.

Wenn Sie diese Richtlinieneinstellung vor BitLocker aktivieren, können Sie die vom TPM vor der Entsperrung des BitLocker-verschlüsselten Betriebssystemlaufwerks überprüften Startkomponenten konfigurieren. Tritt an einer dieser Komponenten während des BitLocker-Schutzes eine Änderung auf, wird der Verschlüsselungsschlüssel zum Entsperren des Laufwerks vom TPM nicht freigegeben und stattdessen die BitLocker-Wiederherstellungskonsole angezeigt. Zum Entsperren des Laufwerks muss dann entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel eingegeben werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird vom TPM das zugehörige Standard-Plattformvalidierungsprofil oder das über das Setupskript vorgegebene Validierungsprofil verwendet. Ein Plattformvalidierungsprofil besteht aus besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) von 0-23. Das Standard-Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen (PCR 0), an Options-ROM-Codes (PCR 2), MBR-Code (Master Boot Record, PCR 4), NTFS-Startsektor (PCR 8), NTFS-Startblock (PCR 9), NTFS-Start-Manager (PCR 10) und BitLocker-Zugriffssteuerung (PCR 11). Die Beschreibungen der PCR-Einstellungen für Computer, von denen EFI (Extensible Firmware Interface) verwendet wird, unterscheiden sich von den PCR-Einstellungen für Computer, von denen ein Standard-BIOS genutzt wird.

Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformmodifikationen (böswillig oder autorisiert) nimmt je nachdem, ob PCRs eingefügt oder ausgeschlossen werden, zu oder ab.

Unterstützt auf: MicrosoftWindows7

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verknüpft, die beim Start von Windows ausgeführt werden.

Wählen Sie die in das Profil einzuschließenden PCR-Indizes mithilfe der Kontrollkästchen unten aus.

Gehen Sie beim Ändern dieser Einstellung vorsichtig vor.

Es werden die Standard-PCRs 0, 2, 4, 8, 9, 10 und 11 empfohlen.

Damit der BitLocker-Schutz aktiviert wird, müssen Sie PCR 11 einschließen.

Weitere Informationen zu den Vorteilen und Risiken, die Änderungen am standardmäßigen TPM-Plattformvalidierungsprofil verursachen können, finden Sie in der Onlinedokumentation.

PCR 0: CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Options-ROM-Code
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Options-ROM-Konfiguration und -Daten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: MBR-Code (Master Boot Record)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: MBR-Partitionstabelle (Master Boot Record)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Statusübergangs- und Reaktivierungsereignisse
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Computerherstellerspezifisch
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
CR 8: NTFS-Startsektor
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: NTFS-Startblock
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Start-Manager
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: BitLocker-Zugriffssteuerung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)