Määritä TPM-käyttöympäristön vahvistusprofiili omille UEFI-laiteohjelmistomäärityksille
Tämän käytäntöasetuksen avulla voit määrittää, miten tietokoneen TPM (Trusted Platform Module) -suojauslaitteisto suojaa BitLocker-salausavaimen. Tämä käytäntöasetus ei ole voimassa, jos tietokoneessa ei ole yhteensopivaa TPM-suojauslaitteistoa tai jos BitLocker ja TPM-suojaus on jo otettu käyttöön.
Tärkeää: Tämä ryhmäkäytäntö koskee vain tietokoneita, joissa on oma UEFI-laiteohjelmistomääritys. Tietokoneet, joissa on BIOS tai UEFI-laiteohjelmisto, jossa CSM (Compatibility Service Module) -moduuli on otettu käyttöön, tallentavat arvot käyttöjärjestelmän määritysrekistereihin (PCR). Käytä Määritä TPM-käyttöympäristön vahvistusprofiili BIOS-pohjaisille laiteohjelmistomäärityksille -ryhmäkäytäntöasetusta, kun määrität TPM-ympäristön PCR-profiilin tietokoneille, jotka käyttävät BIOS-määrityksiä, tai tietokoneille, jotka käyttävät UEFI-laiteohjelmistoa, jossa CSM on otettu käyttöön.
Jos otat tämän käytäntöasetuksen käyttöön ennen BitLockerin ottamista käyttöön, voit määrittää käynnistysosat, jotka TPM tarkistaa, ennen kuin se poistaa BitLocker-salatun käyttöjärjestelmäaseman käytön lukituksen. Jos jokin näistä komponenteista muuttuu BitLocker-suojauksen ollessa käytössä, TPM ei vapauta salausavainta aseman lukituksen poistamista varten, ja tietokone näyttää sen sijaan BitLocker-palautuskonsolin ja vaatii, että aseman lukituksen poistamista varten annetaan palautussalasana tai palautusavain.
Jos tämä käytäntöasetus poistetaan käytöstä tai sitä ei määritetä, BitLocker käyttää ympäristön oletusvahvistusprofiilia tai asennuskomentosarjan määrittämää ympäristön vahvistusprofiilia. Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä välillä 0–23.
Tietokoneissa, joissa ei ole käytettävissä turvallisen käynnistystilan (PCR 7) tukea, ympäristön oletusvahvistusprofiili suojaa salausavaimen seuraavien kohteiden muutoksilta: ydinjärjestelmän laiteohjelmiston suoritettava koodi (PCR 0), laajennettu tai erillinen suoritettava koodi (PCR 2), käynnistyksen hallintaohjelma (PCR 4) ja BitLocker-käytönvalvonta (PCR 11).
Kun turvallisen käynnistystilan (PCR7) tuki on käytettävissä, ympäristön oletusvahvistusprofiili suojaa salausavaimen käyttämällä turvallista käynnistystilaa (PCR 7) ja BitLocker-käytönvalvontaa (PCR 11).
Varoitus: Ympäristön oletusvahvistusprofiilin muuttaminen vaikuttaa tietokoneen suojaukseen ja hallittavuuteen. BitLockerin herkkyys havaita ympäristön muokkaaminen (luvaton tai valtuutettu) tehostuu tai heikkenee PCR-indeksien lisäämisen tai pois jättämisen myötä. Huomaa, että jos tämä käytäntö määritetään ilman PCR 7 -asetusta, se ohittaa Salli turvallinen käynnistys eheyden vahvistamiselle -ryhmäkäytännön, mikä estää BitLockeria käyttämästä ympäristön turvallisen käynnistyksen eheyden vahvistamista tai käynnistyksessä käytettävien määritystietojen eheyden vahvistamista. Tämän asetuksen määrittämisestä voi seurata BitLockerin palautus, kun laiteohjelmisto päivitetään. Jos määrität tämän käytännön sisältämään PCR 0:n, keskeytä BitLocker-suojaus ennen laiteohjelmistopäivitysten asentamista.
Tämän käytäntöasetuksen määrittämistä ei suositella, jotta Windows voi valita parhaan suojaus- ja käytettävyysyhdistelmän PCR-profiilille kussakin tietokoneessa käytettävissä olevan laitteiston perusteella.
Tuettu: Vähintään Windows Server 2012, Windows 8 tai Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä. Kuhunkin PCR-indeksiin liittyy osia, jotka suoritetaan, kun Windows käynnistyy.
Valitse profiiliin sisällytettävät PCR-indeksit alla olevien valintaruutujen avulla.
Ole varovainen muuttaessasi tätä asetusta.
Suosittelemme PCR-oletusmäärityksiä 0, 2, 4 ja 11.
BitLocker-suojauksen toimiminen edellyttää PCR 11 -määritystä.
Lue online-ohjeista lisätietoja oletusarvon mukaisen TPM-turvapiirin ympäristön vahvistusprofiilin muuttamisen eduista ja riskeistä.
PCR 0: ydinjärjestelmän laiteohjelmiston suoritettava koodi
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: ydinjärjestelmän laiteohjelmiston tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: laajennettu tai erillinen suoritettava koodi
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: laajennetun tai erillisen laiteohjelmiston tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Käynnistyksen hallintaohjelma
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT/osiotaulukko
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: jatka S4- ja S5-virtatilatapahtumista
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: turvallinen käynnistystila
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: alustettu arvoon 0 ilman laajennuksia (varattu tulevaan käyttöön)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: alustettu arvoon 0 ilman laajennuksia (varattu tulevaan käyttöön)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: alustettu arvoon 0 ilman laajennuksia (varattu tulevaan käyttöön)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker-käytönvalvonta
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: tietotapahtumat ja erittäin epävakaat tapahtumat
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: käynnistysmoduulin tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: käynnistyksen myöntäjät
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx