A TPM platformérvényesítési profil konfigurálása (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

Ezzel a házirend-beállítással konfigurálhatja, hogy a számítógép platformmegbízhatósági moduljának (TPM) biztonsági hardvere hogyan biztosítsa a BitLocker titkosítási kulcsát. Ez a házirend-beállítás nem érvényes, ha a számítógép nem rendelkezik kompatibilis TPM modullal, vagy ha a BitLocker már be van kapcsolva TPM-védelemmel.

Ha engedélyezi ezt a házirend-beállítást a BitLocker bekapcsolása előtt, akkor a BitLocker által titkosított operációsrendszer-meghajtóhoz való hozzáférés zárolásának feloldása előtt konfigurálhatja a rendszerindításnak a TPM által érvényesítendő összetevőit. Ha az összetevők bármelyike módosul a BitLocker-védelem alatt, a TPM nem engedi, hogy a titkosítási kulcs feloldja a meghajtó zárolását, a számítógép pedig megjeleníti a BitLocker helyreállítási konzolt, és megköveteli a helyreállítási jelszót vagy a helyreállítási kulcsot a meghajtó zárolásának feloldásához.

Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a TPM az alapértelmezett platformérvényesítési profilt vagy a telepítő parancsfájl által megadott platformérvényesítési profilt használja. A platformérvényesítési profil platformkonfigurációs regiszterek (PCR) 0-tól 23-ig terjedő indexeiből áll, az alapértelmezett platformérvényesítési profil pedig biztosítja a titkosítási kulcsot a CRTM-, BIOS- és platformbővítmények (PCR 0), az OPROM-kód (PCR 2), a fő rendszertöltő rekord (MBR) kód (PCR 4), az NTFS-rendszerindító szektor (PCR 8), az NTFS indítási blokk (PCR 9), a Rendszerindítás-kezelő (PCR 10) és a BitLocker hozzáférés-szabályozás (PCR 11) módosításai ellen. Az EFI vezérlőprogramot használó számítógépek PCR-beállításai elérnek a szabványos BIOS rendszert használókéitól.

Figyelmeztetés: Az alapértelmezett platformérvényesítési profilról való átváltás hatással van a számítógép biztonságára és kezelhetőségére. A BitLocker érzékenysége a platform (rosszindulatú vagy hitelesített) módosításaira attól függően növekszik vagy csökken, hogy a PCR regisztereket hozzáadják-e a rendszerhez vagy nem.

Támogatott a következőn: Windows Server 2008, Windows 7 és Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

A platformérvényesítési profil platformkonfigurációs regiszterek (PCR) indexeinek halmaza. Az egyes PCR-indexek olyan összetevőkhöz vannak társítva, amelyek a Windows indulásakor futnak.

Az alábbi jelölőnégyzetekkel kiválaszthatja, hogy melyik PCR-indexeket tartalmazza a profil.

A beállítás módosításakor figyelmesen járjon el.

Ajánlott a 0, 2, 4, 8, 9, 10 és 11 számú alapértelmezett PCR regiszterek használata.

A BitLocker védelme akkor hatásos, ha meghatározza a PCR 11 védelmet.

Az alapértelmezett TPM platformérvényesítési profil megváltoztatásának előnyeiről és kockázatairól az online dokumentációban talál további tájékoztatást.

PCR 0: CRTM-, BIOS- és platformbővítmények
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Platform- és alaplap-konfiguráció és adatok
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: OPROM-kód
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Az OPROM konfigurációja és adatai
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Fő rendszertöltő rekord (MBR) kód
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Fő rendszertöltő rekord (MBR) partíciós tábla
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Állapotváltás és a felébresztés eseményei
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Számítógépgyártótól függő
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: NTFS Rendszerindító szektor
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: NTFS rendszertöltő blokk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Rendszerindítás-kezelő
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: BitLocker hozzáférés-vezérlés
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Későbbi használatra fenntartva
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Felügyeleti sablonok (számítógépek)

Felügyeleti sablonok (felhasználók)