Настроить профиль проверки платформы TPM для собственных конфигураций встроенного ПО UEFI
Этот параметр политики позволяет указать, как оборудование безопасности для доверенного платформенного модуля (TPM) обеспечивает безопасность ключа шифрования BitLocker. Этот параметр неприменим, если на компьютере нет совместимого доверенного платформенного модуля, или если BitLocker уже включен и используется защита с помощью доверенного платформенного модуля.
Внимание! Эта групповая политика применяется только к компьютерам с собственной конфигурацией встроенного ПО UEFI. Компьютеры с BIOS или встроенным ПО UEFI с модулем Compatibility Service Module (CSM) сохраняют разные значения в регистре конфигурации платформы (PCR). Используйте параметр "Настроить профиль проверки платформы TPM для компьютеров с конфигурациями встроенного ПО на основе BIOS", чтобы настроить профиль PCR модуля TPM для компьютеров с конфигурациями BIOS или компьютеров с встроенным ПО UEFI, на которых включен модуль Compatibility Service Module (CSM).
Если этот параметр политики включен до включения BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед снятием блокировки доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования диска, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием указать ключ восстановления или пароль восстановления для снятия блокировки диска.
Если этот параметр политики отключен или не настроен, доверенный платформенный модуль использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы (PCR) в диапазоне от 0 до 23; профиль проверки платформы, используемый по умолчанию, защищает ключ шифрования от изменения исполняемого кода встроенного ПО базовой системы (PCR 0), расширяемого или подключаемого исполняемого кода (PCR 2), диспетчера загрузки (PCR 4) и управления доступом BitLocker (PCR 11).
Предупреждение. Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы. В частности, задание этой политики с пропущенным регистром PCR 7 приведет к переопределению групповой политики "Разрешить безопасную загрузку для проверки целостности", что помешает BitLocker использовать безопасную загрузку для платформы или проверки целостности данных конфигурации загрузки.
Поддерживается: Windows 8 и выше
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Профиль проверки платформы состоит из набора индексов PCR. Каждый индекс PCR связан с компонентами, запускаемыми при запуске Windows.
Используйте флажки ниже для выбора индексов PCR, включаемых в профиль.
Соблюдайте осторожность при изменении этого параметра.
Рекомендуются регистры по умолчанию: PCR 0, 2, 4 и 11.
Чтобы защита BitLocker вступила в силу, необходимо включить PCR 11.
Дополнительные сведения о преимуществах и рисках изменения профиля проверки платформы TPM по умолчанию см. в документации в Интернете.
PCR 0: исполняемый код встроенного ПО базовой системы
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: данные встроенного ПО базовой системы
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: расширенный или подключаемый исполняемый код
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: расширенные или подключаемые данные встроенного ПО
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: диспетчер загрузки
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: GPT/таблица разделов
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: возобновление из событий состояния электропитания S4 и S5
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: состояние безопасной загрузки
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: начальное значение задается равным нулю без расширений (зарезервировано для последующего использования)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 9: начальное значение задается равным нулю без расширений (зарезервировано для последующего использования)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 10: начальное значение задается равным нулю без расширений (зарезервировано для последующего использования)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 11: управление доступом BitLocker
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: события данных и события высокой энергозависимости
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: сведения о модуле загрузки
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: центры загрузки
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: зарезервировано для будущего использования
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx