Konfigurer valideringsprofil for TPM-plattform for BIOS-baserte fastvarekonfigurasjoner

Med denne policyinnstillingen kan du konfigurere hvordan datamaskinens TPM-sikkerhetsmaskinvare (Trusted Platform Module) skal sikre BitLocker-krypteringsnøkkelen. Denne policyinnstillingen gjelder ikke hvis datamaskinen ikke har en kompatibel TPM, eller hvis BitLocker allerede er slått på med TPM-beskyttelse.

Viktig! Denne gruppepolicyen gjelder bare for datamaskiner med BIOS-konfigurasjoner eller datamaskiner med UEFI-fastvare med en CSM (Compatibility Service Module) aktivert. Datamaskiner som bruker en opprinnelig UEFI-fastvarekonfigurasjon, lagrer forskjellige verdier i plattformskonfigurasjonsregistrene (PCRs=Platform Configuration Registers). Bruk gruppepolicyinnstillingen Konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner for å konfigurere TPM PCR-profilen for datamaskiner som bruker opprinnelig UEFI-fastvare.

Hvis du aktiverer denne policyinnstillingen før du slår på BitLocker, kan du konfigurere oppstartskomponentene som TPM skal validere før frigivelse av tilgang til den BitLocker-krypterte operativsystemstasjonen. Hvis noen av disse komponentene endres mens BitLocker-beskyttelsen er aktivert, vil ikke TPM frigjøre krypteringsnøkkelen som låser opp stasjonen, og datamaskinen viser i stedet BitLocker-gjenopprettingskonsollen og krever at gjenopprettingspassordet eller -nøkkelen oppgis for å låse opp stasjonen.

Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, bruker BitLocker standard plattformvalideringsprofil eller den valideringsprofilen som er angitt i installasjonsskriptet. En plattformvalideringsprofil består av et sett med PCR-indekser (Platform Configuration Register), fra 0 til 23. Standard plattformvalideringsprofil sikrer krypteringsnøkkelen mot endringer i CRTM (Core Root of Trust of Measurement), BIOS og plattformutvidelser (PCR 0), alternativ ROM-kode (PCR 2), kode (PCR 4) for hovedoppstartssektor (MBR), NTFS-oppstartssektor (PCR 8), NTFS-oppstartsblokk (PCR 9), Oppstartsbehandling (PCR 10) og BitLocker-tilgangskontroll (PCR 11).

Advarsel! Ved bytte fra standardprofil for plattformvalidering påvirkes sikkerheten og administrasjonen av datamaskinen. BitLockers følsomhet for plattformendringer (skadelige eller godkjente) øker eller minsker med inkludering eller ekskludering (henholdsvis) av PCRer.

Støttes av: Minst Windows Server 2012 eller Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

En plattformvalideringsprofil består av et sett med PCR-indekser (Platform Configuration Register). Hver PCR-indeks er tilknyttet komponenter som kjører når Windows starter.

Bruk avmerkingsboksene nedenfor til å velge hvilke PCR-indekser som skal inkluderes i profilen.

Vær forsiktig når du endrer denne policyinnstillingen.

Vi anbefaler standardinnstillingen for PCRene 0, 2, 4, 8, 9, 10 og 11.

For at BitLocker-beskyttelse skal fungere, må du ta med PCR 11.

Se dokumentasjon på Internett for mer informasjon om fordeler og risikoer ved endring av standard TPM-plattformvalideringsprofil.

PCR 0: Core Root of Trust Measurement (CRTM), BIOS og plattformutvidelser
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Konfigurasjon og data for plattform og hovedkort
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Alternativ ROM-kode
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Alternativ ROM-konfigurasjon og data
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Kode for hovedoppstartspost (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Partisjonstabell for hovedoppstartssektor (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Overgangs- og reaktiveringshendelser
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Spesifikk for datamaskinprodusent
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: NTFS-oppstartssektor
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: NTFS-oppstartsblokk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Oppstartsbehandling
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: BitLocker-tilgangskontroll
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Administrative maler (datamaskiner)

Administrative maler (brukere)