为原生 UEFI 固件配置而配置 TPM 平台验证配置文件

此策略设置的用途是,配置计算机的受信任的平台模块(TPM)安全硬件如何保护 BitLocker 加密密钥。如果计算机没有兼容的 TPM 或者 BitLocker 已在 TPM 保护方式下打开,则此策略设置不适用。

重要: 此组策略仅应用到具有原生 UEFI 固件配置的计算机。具有 BIOS 或者具有已启用"兼容性服务模块"(CSM)的 UEFI 固件的计算机将不同的值存储到平台配置注册表(PCR)中。对于具有 BIOS 配置或具有已启用 CSM 的 UEFI 固件的计算机,请使用"为基于 BIOS 的固件配置而配置 TPM 平台验证配置文件"组策略设置来配置 TPM PCR 配置文件。

如果在打开 BitLocker 之前启用此策略设置,则可以配置在解锁对 BitLocker 加密的操作系统驱动器的访问之前 TPM 将验证的引导组件。如果其中的任何组件在 BitLocker 保护生效时发生了变化,TPM 将不会发放用于解锁驱动器的加密密钥,而计算机将显示 BitLocker 恢复控制台,并要求提供恢复密码或恢复密钥来解锁驱动器。

如果禁用或未配置此策略设置,则 BitLocker 将使用默认的平台验证配置文件或由安装脚本指定的平台验证配置文件。平台验证配置文件由一组从 0 到 23 的平台配置注册表(PCR)索引组成。默认的平台验证配置文件对加密密钥进行保护,以免核心系统固件可执行代码(PCR 0)、扩展的或可插入的可执行代码(PCR 2)、引导管理器(PCR 4)和 BitLocker 访问控制(PCR 11)遭到更改。

警告: 默认的平台验证配置文件的变化会影响计算机的安全性和可管理性。BitLocker 对平台修改(恶意或授权)的敏感度会增加或减小,具体取决于是包含还是排除(分别会影响到敏感度) PCR。特别地,如果在设置此策略时忽略 PCR 7,则会替代"允许安全引导以执行完整性验证"组策略,从而防止 BitLocker 将安全引导用于平台或引导配置数据(BCD)完整性验证。

Supported on: 至少为 Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

平台验证配置文件由一组平台配置注册表(PCR)索引组成。每个 PCR 索引都与 Windows 启动时运行的组件关联。

使用下列复选框选择要包含在配置文件中的 PCR 索引。

更改此设置时,务必小心。

我们推荐 PCR 0、2、4 和 11 的默认值。

对于要生效的 BitLocker 保护,必须包括 PCR 11。

有关更改默认 TPM 平台验证配置文件的好处与风险的详细信息,请参阅联机文档。

PCR 0: 核心系统固件可执行代码
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: 核心系统固件数据
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: 扩展的或可插入的可执行代码
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: 扩展的或可插入的固件数据
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: 引导管理器
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/分区表
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: 从 S4 和 S5 电源状态事件中恢复
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: 安全引导状态
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: 初始化为 0 且无扩展(保留供将来使用)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: 初始化为 0 且无扩展(保留供将来使用)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: 初始化为 0 且无扩展(保留供将来使用)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker 访问控制
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: 数据事件和极易变化的事件
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: 引导模块详细信息
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: 引导授权
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Administrative Templates (Computers)

Administrative Templates (Users)