Konfigurovat profil ověřování platformy TPM pro konfigurace s nativním firmwarem UEFI

Nastavením této zásady můžete konfigurovat, jak zabezpečovací hardware TPM zabezpečí šifrovací klíč nástroje BitLocker. Toto nastavení zásad se nepoužívá, pokud počítač neobsahuje kompatibilní čip TPM nebo pokud byl nástroj BitLocker už spuštěn s ochranou TPM.

Důležité: Tyto zásady skupiny se vztahují jen na počítače s konfiguracemi využívajícími nativní firmware UEFI. Počítače se systémem BIOS nebo firmwarem UEFI s povoleným modulem CSM (Compatibility Service Module) ukládají do registrů konfigurace platformy (PCR) jiné hodnoty. Pomocí nastavení zásad skupiny Konfigurovat profil ověřování platformy TPM pro konfigurace s firmwarem založeným na systému BIOS lze nakonfigurovat profil registru konfigurace platformy TPM pro počítače s konfiguracemi se systémem BIOS nebo pro počítače s firmwarem UEFI s povoleným modulem CSM.

Pokud toto nastavení zásad povolíte před zapnutím nástroje BitLocker, můžete konfigurovat součásti spuštění počítače, které čip TPM ověří před odemknutím přístupu k jednotce operačního systému šifrované nástrojem BitLocker. Pokud se některá z těchto komponent změní během doby, kdy je zapnutá ochrana nástrojem BitLocker, čip TPM neuvolní šifrovací klíč k odemknutí jednotky a počítač místo toho zobrazí konzolu Obnovení nástrojem BitLocker a bude vyžadovat, aby k odemčení jednotky bylo zadáno heslo pro obnovení nebo obnovovací klíč.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nástroj BitLocker použije výchozí profil ověřování platformy pro dostupný hardware nebo profil ověřování platformy určený skriptem nastavení. Profil ověřování platformy se skládá ze sady indexů registru konfigurace platformy (PCR) v rozsahu od 0 do 23.

Na osobních počítačích bez podpory Stavu zabezpečeného spouštění (PCR 7) výchozí profil ověřování platformy zabezpečuje šifrovací klíč proti změnám spustitelného kódu základního systémového firmwaru (PCR 0), rozšířeného nebo zásuvného spustitelného kódu (PCR 2), správce spouštění systému (PCR 4) a řízení přístupu nástrojem BitLocker (PCR 11).

Pokud je Stav zabezpečeného spouštění (PCR7) podporován, výchozí profil ověřování platformy zabezpečuje šifrovací klíč pomocí Stavu zabezpečeného spouštění (PCR 7) a řízení přístupu nástrojem BitLocker (PCR 11).

Upozornění: Změna výchozího profilu ověřování platformy ovlivní zabezpečení a možnost správy počítače. Citlivost nástroje BitLocker na změny platformy (škodlivé nebo autorizované) se zvyšuje nebo snižuje podle toho, jestli jsou zahrnuty, nebo vyloučeny registry konfigurace platformy (PCR). Pokud tuto zásadu nastavíte, aniž by byl zahrnut registr PCR 7, budou potlačeny zásady skupiny Povolit zabezpečené spouštění systému pro ověření integrity, což nástroji BitLocker zabrání používat zabezpečené spouštění systému pro platformu nebo ověření integrity pro konfigurační data spouštění (BCD). Je-li tato zásada nastavená, může se stát, že bude při aktualizaci firmwaru spuštěna obnova nástroje BitLocker. Pokud tuto zásadu nastavíte tak, aby zahrnovala registr PCR 0, pozastavte před každou aktualizací firmwaru nástroj BitLocker.

Tuto zásadu se doporučuje nekonfigurovat, aby výběr profilu PCR mohl provést systém Windows, a dosáhlo se tak nejlepší kombinace zabezpečení a použitelnosti na základě dostupného hardwaru na každém počítači.

Podporováno na: Minimálně Windows Server 2012, Windows 8 nebo Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Profil ověřování platformy se skládá ze sady indexů registru konfigurace platformy (PCR). Každý index registru konfigurace platformy je přidružený ke komponentám, které jsou spouštěny při spouštění systému Windows.

Pomocí zaškrtávacích políček níže zvolte indexy registru konfigurace platformy, které chcete zahrnout do profilu.

Při změně tohoto nastavení postupujte opatrně.

Pro registry konfigurace platformy doporučujeme použít výchozí nastavení 0, 2, 4 a 11.

K tomu, aby se ochrana nástrojem BitLocker projevila, musíte zahrnout registr PCR 11.

Další informace o výhodách a rizicích spojených se změnou výchozího profilu ověřování platformy TPM naleznete v online dokumentaci.

PCR 0: Spustitelný kód základního systémového firmwaru
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Data základního systémového firmwaru
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Rozšířený nebo zásuvný spustitelný kód
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Rozšířená nebo zásuvná data firmwaru
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Správce spouštění systému
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT / tabulka oddílů
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Obnovit z událostí stavu napájení S4 a S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Stav zabezpečeného spouštění
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Inicializováno na 0 bez rozšíření (rezervováno pro budoucí použití)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Inicializováno na 0 bez rozšíření (rezervováno pro budoucí použití)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Inicializováno na 0 bez rozšíření (rezervováno pro budoucí použití)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: Řízení přístupu nástrojem BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Události dat a vysoce nestálé události
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Údaje modulu spouštění
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Autority spouštění
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Rezervováno pro budoucí použití
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Šablony pro správu (počítače)

Šablony pro správu (uživatelé)