Konfigurovat profil ověřování platformy TPM pro konfigurace firmwaru založené na systému BIOS

Toto nastavení zásad umožňuje konfigurovat, jak čip TPM hardwaru zabezpečení v počítači zabezpečí šifrovací klíč nástroje BitLocker. Toto nastavení zásad nebude uplatněno, pokud počítač neobsahuje kompatibilní čip TPM nebo pokud byl nástroj BitLocker již spuštěn s ochranou TPM.

Důležité: Tyto zásady skupiny se vztahují na konfigurace počítačů se systémem BIOS nebo na počítače s firmwarem UEFI, které mají povolen modul CSM (Compatibility Service Module). Počítače s konfiguracemi využívajícími nativní firmware UEFI ukládají do registrů konfigurace platformy (PCR) jiné hodnoty. Pomocí nastavení zásad skupiny Konfigurovat profil ověřování platformy TPM pro konfigurace s nativním firmwarem UEFI lze nakonfigurovat profil registru konfigurace platformy TPM pro počítače s nativním firmwarem UEFI.

Pokud toto nastavení zásad povolíte před zapnutím nástroje BitLocker, můžete konfigurovat součásti spuštění počítače, které čip TPM ověří před odemknutím přístupu k jednotce operačního systému šifrovaného nástrojem BitLocker. Pokud se některá z těchto komponent změní během doby, kdy je zapnutá ochrana nástrojem BitLocker, čip TPM neuvolní šifrovací klíč k odemknutí jednotky a počítač místo toho zobrazí konzolu Obnovení nástrojem BitLocker a bude vyžadovat, aby k odemčení jednotky bylo použito heslo pro obnovení nebo obnovovací klíč.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nástroj BitLocker použije výchozí profil ověřování platformy nebo profil ověřování platformy určený skriptem nastavení. Profil ověřování platformy se skládá ze sady indexů registru konfigurace platformy (PCR) v rozsahu od 0 do 23. Výchozí profil ověřování platformy zabezpečuje šifrovací klíč proti změnám kódu Core Root of Trust of Measurement (CRTM), systému BIOS, rozšíření platformy (PCR 0), kódu komponenty ROM (PCR 2), kódu hlavního spouštěcího záznamu (PCR 4), spouštěcího sektoru systému NTFS (PCR 8), spouštěcího bloku systému NTFS (PCR 9), správce spouštění systému (PCR 10) a řízení přístupu nástrojem BitLocker (PCR 11).

Upozornění: Změna výchozího profilu ověřování platformy ovlivní zabezpečení a možnost správy počítače. Citlivost nástroje BitLocker na změny platformy (škodlivé nebo autorizované) se zvyšuje nebo snižuje podle zahrnutí nebo vyloučení registrů konfigurace platformy (PCR).

Podporováno na: Minimálně systém Windows Server 2012 nebo Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Profil ověřování platformy se skládá ze sady indexů registru konfigurace platformy (PCR). Každý index registru konfigurace platformy je přidružený ke komponentám, které jsou spouštěny při spouštění systému Windows.

Pomocí zaškrtávacích políček níže zvolte indexy registru konfigurace platformy, které chcete zahrnout do profilu.

Při změně tohoto nastavení postupujte opatrně.

Pro registry konfigurace platformy doporučujeme použít výchozí nastavení 0, 2, 4, 8, 9, 10 a 11.

K tomu, aby se ochrana nástrojem BitLocker projevila, musíte zahrnout registr PCR 11.

Další informace o výhodách a rizicích spojených se změnou výchozího profilu ověřování platformy TPM naleznete v online dokumentaci.

PCR 0: Core Root of Trust of Measurement (CRTM), systém BIOS a rozšíření platformy
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Konfigurace a data platformy a základní desky
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Kód komponenty ROM
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Konfigurace a data kódu komponenty ROM
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Kód hlavního spouštěcího záznamu (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Tabulka oddílů hlavního spouštěcího záznamu (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Události přechodu stavu a probuzení
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Vyhrazeno pro výrobce počítače
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Spouštěcí sektor systému NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: Spouštěcí blok systému NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Správce spouštění systému
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: Řízení přístupu nástrojem BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Šablony pro správu (počítače)

Šablony pro správu (uživatelé)