TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel sichert. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder wenn BitLocker bereits mit TPM-Schutz eingeschaltet ist.

Wichtig: Diese Gruppenrichtlinie gilt nur für Computer mit systemeigener UEFI-Firmwarekonfiguration. Computer mit BIOS- oder UEFI-Firmware, für die ein Kompatibilitätsdienstmodul (Compatibility Service Module, CSM) aktiviert ist, speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (Platform Configuration Register, PCR). Verwenden Sie die Gruppenrichtlinieneinstellung "TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren", um das TPM PCR-Profil für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware und aktiviertem CSM zu konfigurieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, bevor Sie BitLocker einschalten, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das BitLocker-verschlüsselte Betriebssystemlaufwerk entsperrt wird. Ändert sich eine dieser Komponenten, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel nicht zum Entsperren des Laufwerks frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und es muss entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel angegeben werden, um das Laufwerk zu entsperren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil für die verfügbare Hardware oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Gruppe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) im Bereich von 0 bis 23.

Auf PCs ohne Unterstützung für den sicheren Startzustand (PCR 7) schützt das Standard-Plattformvalidierungsprofil den Verschlüsselungsschlüssel vor Änderungen am ausführbaren Code der Kernsystemfirmware (PCR 0), am erweiterten oder austauschbaren ausführbaren Code (PCR 2), am Start-Manager (PCR 4) und an der BitLocker-Zugriffssteuerung (PCR 11).

Wenn Unterstützung für den sicheren Startzustand (PCR7) verfügbar ist, schützt das Standard-Plattformvalidierungsprofil den Verschlüsselungsschlüssel mithilfe des sicheren Startzustands (PCR 7) und der BitLocker-Zugriffssteuerung (PCR 11).

Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformmodifikationen (böswillig oder autorisiert) nimmt zu bzw. ab. Dies hängt jeweils davon an, ob PCRs eingefügt bzw. ausgeschlossen werden. Genauer gesagt: Wenn Sie diese Richtlinie ohne PCR 7 festlegen, wird die Gruppenrichtlinie "Sicheren Start für Integritätsüberprüfung zulassen" außer Kraft gesetzt. Dadurch wird verhindert, dass BitLocker den sicheren Start für die Integritätsüberprüfung der Plattform oder der Startkonfigurationsdaten (Boot Configuration Data, BCD) verwendet. Wenn diese Richtlinie festgelegt ist, wird beim Firmwareupdate u.U. eine BitLocker-Wiederherstellung durchgeführt. Wenn Sie diese Richtlinie so festlegen, dass PCR 0 einbezogen wird, sollten Sie BitLocker vor dem Installieren von Firmwareupdates anhalten.

Es wird empfohlen, diese Richtlinie nicht zu konfigurieren, damit Windows das PCR-Profil ausgehend von der auf den einzelnen PCs verfügbaren Hardware auswählt, um eine optimale Sicherheit und Benutzerfreundlichkeit zu erreichen.

Unterstützt auf: Mindestens Windows Server 2012, Windows 8 oder Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verknüpft, die beim Start von Windows ausgeführt werden.

Wählen Sie die in das Profil einzuschließenden PCR-Indizes mithilfe der Kontrollkästchen unten aus.

Gehen Sie beim Ändern dieser Einstellung vorsichtig vor.

Wir empfehlen ein Standardprofil der PCRs 0, 2, 4 und 11.

Damit der BitLocker-Schutz wirksam wird, müssen Sie PCR 11 einschließen.

Weitere Informationen zu den Vorteilen und Risiken, die Änderungen am standardmäßigen TPM-Plattformvalidierungsprofil verursachen können, finden Sie in der Onlinedokumentation.

PCR 0: Ausführbarer Code für Kernsystemfirmware
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Daten für Kernsystemfirmware
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Erweiterter oder austauschbarer ausführbarer Code
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Erweiterte oder austauschbare Firmwaredaten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Start-Manager
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/Partitionstabelle
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Wiederaufnahme aus Energiestatusereignissen S4 und S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Zustand des sicheren Starts
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Initialisiert auf 0 ohne Erweiterungen (reserviert für zukünftige Verwendung)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Initialisiert auf 0 ohne Erweiterungen (reserviert für zukünftige Verwendung)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Initialisiert auf 0 ohne Erweiterungen (reserviert für zukünftige Verwendung)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker-Zugriffssteuerung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Datenereignisse und stark veränderliche Ereignisse
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Startmoduldetails
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Startbefugnisse
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reserviert für zukünftige Verwendung
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)