To ustawienie zasad umożliwia określenie, czy funkcja Bezpieczny rozruch może być dozwolonym dostawcą integralności platformy dla dysków z systemem operacyjnym chronionych funkcją BitLocker.
Bezpieczny rozruch pozwala zagwarantować, że środowisko przedrozruchowe komputera ładuje tylko oprogramowanie układowe, które zostało cyfrowo podpisane przez autoryzowanych wydawców oprogramowania. Bezpieczny rozruch zapewnia także większą elastyczność w zakresie zarządzania konfiguracją przedrozruchową niż starsze testy integralności funkcji BitLocker.
Jeśli to ustawienie zasad zostanie włączone lub nie zostanie skonfigurowane, funkcja BitLocker będzie weryfikować integralność platformy za pomocą bezpiecznego rozruchu, o ile dana platforma obsługuje tę metodę weryfikowania integralności.
Jeśli to ustawienie zasad zostanie wyłączone, funkcja BitLocker będzie używać starszych metod weryfikowania integralności platformy, nawet w systemach obsługujących weryfikowanie integralności za pomocą bezpiecznego rozruchu.
Jeśli te zasady są włączone, a sprzęt obsługuje bezpieczny rozruch w scenariuszach z użyciem funkcji BitLocker, ustawienie zasad „Użyj profilu weryfikacji rozszerzonych danych konfiguracji rozruchu" jest ignorowane i w ramach bezpiecznego rozruchu są sprawdzane ustawienia danych konfiguracji rozruchu zgodnie z ustawieniem zasad bezpiecznego rozruchu, które jest konfigurowane niezależnie od ustawień funkcji BitLocker.
Uwaga: jeśli ustawienie zasad grupy „Konfiguruj profil weryfikacji platformy modułu TPM dla konfiguracji natywnego oprogramowania układowego UEFI" jest włączone z pominięciem indeksu PCR 7, funkcja BitLocker nie może weryfikować integralności platformy ani danych konfiguracji rozruchu (BCD) za pomocą bezpiecznego rozruchu.
Ostrzeżenie: ustawienie tych zasad może skutkować odzyskiwaniem funkcji BitLocker po zaktualizowaniu oprogramowania układowego. W przypadku wyłączenia tych zasad należy wstrzymać funkcję BitLocker przed zastosowaniem aktualizacji oprogramowania układowego.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | OSAllowSecureBootForIntegrity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |