Määritä TPM-käyttöympäristön vahvistusprofiili BIOS-pohjaisille laiteohjelmistomäärityksille
Tämän käytäntöasetuksen avulla voit määrittää, miten tietokoneen TPM (Trusted Platform Module) -suojauslaitteisto suojaa BitLocker-salausavaimen. Tämä käytäntöasetus ei ole voimassa, jos tietokoneessa ei ole yhteensopivaa TPM-suojauslaitteistoa tai jos BitLocker ja TPM-suojaus on jo otettu käyttöön.
Tärkeää: tämä ryhmäkäytäntö koskee vain tietokoneita, joissa on BIOS-määritykset, tai tietokoneita, joissa on UEFI-laiteohjelmisto, jossa CSM (Compatibility Service Module) -moduuli on otettu käyttöön. Omaa UEFI-laiteohjelmistomääritystä käyttävät tietokoneet tallentavat arvot käyttöjärjestelmän määritysrekistereihin (PCR). Käytä Määritä TPM-käyttöympäristön vahvistusprofiili omille UEFI-laiteohjelmistomäärityksille -ryhmäkäytäntöasetusta, kun määrität TPM-ympäristön PCR-profiilin tietokoneille, jotka käyttävät omaa UEFI-laiteohjelmistoa.
Jos otat tämän käytäntöasetuksen käyttöön ennen BitLockerin ottamista käyttöön, voit määrittää käynnistysosat, jotka TPM tarkistaa, ennen kuin se poistaa BitLocker-salatun käyttöjärjestelmäaseman käytön lukituksen. Jos jokin näistä komponenteista muuttuu BitLocker-suojauksen ollessa käytössä, TPM ei vapauta salausavainta aseman lukituksen poistamista varten, ja tietokone näyttää sen sijaan BitLocker-palautuskonsolin ja vaatii, että aseman lukituksen poistamista varten annetaan palautussalasana tai palautusavain.
Jos tämä käytäntöasetus poistetaan käytöstä tai sitä ei määritetä, BitLocker käyttää ympäristön oletusvahvistusprofiilia tai asennuskomentosarjan määrittämää ympäristön vahvistusprofiilia. Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä välillä 0–23. Ympäristön oletusvahvistusprofiili suojaa salausavaimen seuraavien kohteiden muutoksilta: CRTM (Core Root of Trust of Measurement), BIOS, ympäristön laajennukset (PCR 0), valinnainen ROM-koodi (PCR 2), pääkäynnistystietueen (MBR) koodi (PCR 4), NTFS-käynnistyssektori (PCR 8), NTFS-käynnistyslohko (PCR 9), käynnistyksen hallintaohjelma (PCR 10) ja BitLocker-käytönvalvonta (PCR 11).
Varoitus: Ympäristön oletusvahvistusprofiilin muuttaminen vaikuttaa tietokoneen suojaukseen ja hallittavuuteen. BitLockerin herkkyys havaita ympäristön muokkaaminen (luvaton tai valtuutettu) tehostuu tai heikkenee PCR-indeksien lisäämisen tai pois jättämisen myötä.
Tuettu: Vähintään Windows Server 2012 tai Windows 8
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä. Kuhunkin PCR-indeksiin liittyy osia, jotka suoritetaan, kun Windows käynnistyy.
Valitse profiiliin sisällytettävät PCR-indeksit alla olevien valintaruutujen avulla.
Ole varovainen muuttaessasi tätä asetusta.
Suosittelemme PCR-oletusmäärityksiä 0, 2, 4, 8, 9, 10 ja 11.
BitLocker-suojauksen toimiminen edellyttää PCR 11 -määritystä.
Lue online-ohjeista lisätietoja oletusarvon mukaisen TPM-turvapiirin ympäristön vahvistusprofiilin muuttamisen eduista ja riskeistä.
PCR 0: CRTM (Core Root of Trust of Measurement), BIOS ja käyttöympäristön laajennukset
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: Käyttöympäristön ja emolevyn määritys ja tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: Valinnainen ROM-koodi
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: Valinnainen ROM-määritys ja -tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Pääkäynnistystietueen (MBR) koodi
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: Pääkäynnistystietueen (MBR) osiotaulukko
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Tilasiirtymä- ja herätystapahtumat
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Tietokonevalmistajakohtainen
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: NTFS-käynnistyssektori
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 9: NTFS-käynnistyslohko
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 10: Käynnistyksen hallintaohjelma
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker-käytönvalvonta
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx