Configura profilo di convalida della piattaforma TPM per configurazioni del firmware UEFI nativo
Questa impostazione consente di configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) protegge la chiave di crittografia di BitLocker. Questa impostazione non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già stato abilitato con protezione del TPM.
Importante: questi Criteri di gruppo si applicano solo ai computer con una configurazione del firmware UEFI nativo. I computer con BIOS o firmware UEFI con CSM (Compatibility Service Module) abilitato archiviano valori diversi nei registri di configurazione di piattaforma (PCR). Utilizzare l'impostazione dei Criteri di gruppo "Configura profilo di convalida della piattaforma TPM per configurazioni del firmware basate su BIOS" per configurare il profilo PCR TPM per i computer con configurazioni BIOS o computer con il firmware UEFI con CSM abilitato.
Se si abilita questa impostazione prima dell'abilitazione di BitLocker, sarà possibile configurare i componenti di avvio che saranno convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno qualsiasi di questi componenti viene modificato mentre è abilitata la protezione BitLocker, il TPM non rilascerà la chiave di crittografia per sbloccare l'unità. Nel computer verrà invece visualizzata la console di ripristino di BitLocker e richiesta la password di ripristino o la chiave di ripristino per sbloccare l'unità.
Se si disabilita o non si configura questa impostazione, BitLocker utilizzerà il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione. Un profilo di convalida della piattaforma è costituito da un set di indici di registri di configurazione di piattaforma (PCR, Platform Configuration Register) compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche al codice eseguibile del firmware del sistema principale (PCR 0), al codice eseguibile collegabile o esteso (PCR 2), a Boot Manager (PCR 4) e al controllo di accesso BitLocker (PCR 11).
Avviso: le modifiche al profilo di convalida della piattaforma predefinito hanno effetto sulla sicurezza e sulla gestione del computer. La sensibilità di BitLocker alle modifiche (autorizzate o non autorizzate) della piattaforma può aumentare o diminuire, rispettivamente, in base all'inclusione o all'esclusione dei PCR. In particolare, se si imposta questo criterio omettendo PCR 7, si sovrascriveranno i Criteri di gruppo "Consenti avvio protetto per la convalida dell'integrità", impedendo a BitLocker di utilizzare l'avvio protetto per la piattaforma o la convalida dell'integrità dei dati di configurazione di avvio.
Supportata in: Almeno Windows 8
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Un profilo di convalida della piattaforma è costituito da un set di indici di registri di configurazione di piattaforma (PCR, Platform Configuration Register). Ogni indice PCR è associato a componenti che vengono eseguiti all'avvio di Windows.
Utilizzare le caselle di controllo seguenti per scegliere gli indici PCR da includere nel profilo.
Prestare attenzione quando si modifica tale impostazione.
È consigliabile utilizzare i valori predefiniti dei PCR 0, 2, 4 e 11.
Affinché la protezione BitLocker abbia effetto, è necessario includere PCR 11.
Per ulteriori informazioni sui vantaggi e i rischi correlati alla modifica del profilo di convalida della piattaforma del TPM predefinito, consultare la documentazione online.
PCR 0: codice eseguibile del firmware del sistema principale
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: dati del firmware del sistema principale
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: codice eseguibile collegabile o esteso
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: dati del firmware collegabile o esteso
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Boot Manager
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT/tabella di partizione
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: ripresa da eventi di stato alimentazione S4 e S5
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: stato avvio protetto
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: inizializzato a 0 senza estensioni (riservato per un utilizzo futuro)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: inizializzato a 0 senza estensioni (riservato per un utilizzo futuro)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: inizializzato a 0 senza estensioni (riservato per un utilizzo futuro)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: Controllo di accesso BitLocker
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: eventi dati ed eventi altamente volatili
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: dettagli modulo di avvio
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: autorità di avvio
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: Riservato per un utilizzo futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
bitlockermanagement.admx