Настройка профиля проверки платформы TPM
Этот параметр политики позволяет указать, как оборудование безопасности для доверенного платформенного модуля (TPM) обеспечивает безопасность ключа шифрования BitLocker. Этот параметр неприменим, если на компьютере нет совместимого доверенного платформенного модуля, или если BitLocker уже включен и используется защита с помощью доверенного платформенного модуля.
Если этот параметр политики включен до включения BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед снятием блокировки доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования диска, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием указать ключ восстановления или пароль восстановления для снятия блокировки диска.
Если этот параметр политики отключен или не настроен, доверенный платформенный модуль использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы (PCR) в диапазоне от 0 до 23; профиль проверки платформы, используемый по умолчанию, защищает ключ шифрования от изменения базового доверенного источника оценки (CRTM), BIOS, расширений платформы (PCR 0), кода Option ROM (PCR 2), кода основной загрузочной записи (MBR) (PCR 4), загрузочного сектора NTFS (PCR 8), блока загрузки NTFS (PCR 9), диспетчера загрузки (PCR 10) и управления доступом BitLocker (PCR 11). Описание параметров PCR для компьютеров, использующих интерфейс EFI, отличается от параметров PCR, описанных для компьютеров, использующий стандартную систему BIOS.
Предупреждение. Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы.
Поддерживается: MicrosoftWindows7
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Профиль проверки платформы состоит из набора индексов PCR. Каждый индекс PCR связан с компонентами, запускаемыми при запуске Windows.
Используйте флажки ниже для выбора индексов PCR, включаемых в профиль.
Соблюдайте осторожность при изменении этого параметра.
Рекомендуются регистры по умолчанию: PCR 0, 2, 4, 8, 9, 10 и 11.
Чтобы защита BitLocker вступила в силу, необходимо включить PCR 11.
Дополнительные сведения о преимуществах и рисках изменения профиля проверки платформы TPM по умолчанию см. в документации в Интернете.
PCR 0: базовый доверенный источник оценки (CRTM), BIOS и расширения платформы
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: данные и конфигурация системной платы и платформы
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: код дополнительного ПЗУ
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: конфигурация и данные дополнительного ПЗУ
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: код основной загрузочной записи (MBR)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: таблица разделов основной загрузочной записи (MBR)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: события смены состояний и пробуждения
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: задается изготовителем ПК
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: загрузочный сектор NTFS
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 9: загрузочный блок NTFS
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 10: диспетчер загрузки
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 11: управление доступом BitLocker
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx