Määritä TPM-käyttöympäristön vahvistusprofiili omille UEFI-laiteohjelmistomäärityksille

Tämän käytäntöasetuksen avulla voit määrittää, miten tietokoneen TPM (Trusted Platform Module) -suojauslaitteisto suojaa BitLocker-salausavaimen. Tämä käytäntöasetus ei ole voimassa, jos tietokoneessa ei ole yhteensopivaa TPM-suojauslaitteistoa tai jos BitLocker ja TPM-suojaus on jo otettu käyttöön.

Tärkeää: Tämä ryhmäkäytäntö koskee vain tietokoneita, joissa on oma UEFI-laiteohjelmistomääritys. Tietokoneet, joissa on BIOS tai UEFI-laiteohjelmisto, jossa CSM (Compatibility Service Module) -moduuli on otettu käyttöön, tallentavat arvot käyttöjärjestelmän määritysrekistereihin (PCR). Käytä Määritä TPM-käyttöympäristön vahvistusprofiili BIOS-pohjaisille laiteohjelmistomäärityksille -ryhmäkäytäntöasetusta, kun määrität TPM-ympäristön PCR-profiilin tietokoneille, jotka käyttävät BIOS-määrityksiä, tai tietokoneille, jotka käyttävät UEFI-laiteohjelmistoa, jossa CSM on otettu käyttöön.

Jos otat tämän käytäntöasetuksen käyttöön ennen BitLockerin ottamista käyttöön, voit määrittää käynnistysosat, jotka TPM tarkistaa, ennen kuin se poistaa BitLocker-salatun käyttöjärjestelmäaseman käytön lukituksen. Jos jokin näistä komponenteista muuttuu BitLocker-suojauksen ollessa käytössä, TPM ei vapauta salausavainta aseman lukituksen poistamista varten, ja tietokone näyttää sen sijaan BitLocker-palautuskonsolin ja vaatii, että aseman lukituksen poistamista varten annetaan palautussalasana tai palautusavain.

Jos tämä käytäntöasetus poistetaan käytöstä tai sitä ei määritetä, BitLocker käyttää ympäristön oletusvahvistusprofiilia tai asennuskomentosarjan määrittämää ympäristön vahvistusprofiilia. Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä välillä 0–23.

Tietokoneissa, joissa ei ole käytettävissä turvallisen käynnistystilan (PCR 7) tukea, ympäristön oletusvahvistusprofiili suojaa salausavaimen seuraavien kohteiden muutoksilta: ydinjärjestelmän laiteohjelmiston suoritettava koodi (PCR 0), laajennettu tai erillinen suoritettava koodi (PCR 2), käynnistyksen hallintaohjelma (PCR 4) ja BitLocker-käytönvalvonta (PCR 11).

Kun turvallisen käynnistystilan (PCR7) tuki on käytettävissä, ympäristön oletusvahvistusprofiili suojaa salausavaimen käyttämällä turvallista käynnistystilaa (PCR 7) ja BitLocker-käytönvalvontaa (PCR 11).

Varoitus: Ympäristön oletusvahvistusprofiilin muuttaminen vaikuttaa tietokoneen suojaukseen ja hallittavuuteen. BitLockerin herkkyys havaita ympäristön muokkaaminen (luvaton tai valtuutettu) tehostuu tai heikkenee PCR-indeksien lisäämisen tai pois jättämisen myötä. Huomaa, että jos tämä käytäntö määritetään ilman PCR 7 -asetusta, se ohittaa Salli turvallinen käynnistys eheyden vahvistamiselle -ryhmäkäytännön, mikä estää BitLockeria käyttämästä ympäristön turvallisen käynnistyksen eheyden vahvistamista tai käynnistyksessä käytettävien määritystietojen eheyden vahvistamista. Tämän asetuksen määrittämisestä voi seurata BitLockerin palautus, kun laiteohjelmisto päivitetään. Jos määrität tämän käytännön sisältämään PCR 0:n, keskeytä BitLocker-suojaus ennen laiteohjelmistopäivitysten asentamista.

Tämän käytäntöasetuksen määrittämistä ei suositella, jotta Windows voi valita parhaan suojaus- ja käytettävyysyhdistelmän PCR-profiilille kussakin tietokoneessa käytettävissä olevan laitteiston perusteella.

Tuettu: Vähintään Windows Server 2012, Windows 8 tai Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä. Kuhunkin PCR-indeksiin liittyy osia, jotka suoritetaan, kun Windows käynnistyy.

Valitse profiiliin sisällytettävät PCR-indeksit alla olevien valintaruutujen avulla.

Ole varovainen muuttaessasi tätä asetusta.

Suosittelemme PCR-oletusmäärityksiä 0, 2, 4 ja 11.

BitLocker-suojauksen toimiminen edellyttää PCR 11 -määritystä.

Lue online-ohjeista lisätietoja oletusarvon mukaisen TPM-turvapiirin ympäristön vahvistusprofiilin muuttamisen eduista ja riskeistä.

PCR 0: ydinjärjestelmän laiteohjelmiston suoritettava koodi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: ydinjärjestelmän laiteohjelmiston tiedot
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: laajennettu tai erillinen suoritettava koodi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: laajennetun tai erillisen laiteohjelmiston tiedot
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Käynnistyksen hallintaohjelma
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/osiotaulukko
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: jatka S4- ja S5-virtatilatapahtumista
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: turvallinen käynnistystila
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: alustettu arvoon 0 ilman laajennuksia (varattu tulevaan käyttöön)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: alustettu arvoon 0 ilman laajennuksia (varattu tulevaan käyttöön)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: alustettu arvoon 0 ilman laajennuksia (varattu tulevaan käyttöön)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker-käytönvalvonta
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: tietotapahtumat ja erittäin epävakaat tapahtumat
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: käynnistysmoduulin tiedot
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: käynnistyksen myöntäjät
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: varattu tulevaa käyttöä varten
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Hallintamallit (tietokoneet)

Hallintamallit (käyttäjät)