Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif

Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l'ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne possède pas de TPM compatible ou si BitLocker a déjà été activé avec la protection TPM.

Important : cette stratégie de groupe s'applique uniquement aux ordinateurs dotés d'une configuration de microprogramme UEFI native. Les ordinateurs dotés d'un BIOS ou d'un microprogramme UEFI avec un module de service de compatibilité (CSM) activé stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS » pour configurer le profil PCR TPM pour les ordinateurs dotés de configurations de BIOS ou les ordinateurs avec un microprogramme UEFI avec un CSM activé.

Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage que le TPM validera avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants change alors que la protection BitLocker est en vigueur, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur et l'ordinateur affiche à la place la console de récupération BitLocker et exige le mot de passe de récupération ou la clé de récupération pour déverrouiller le lecteur.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le profil de validation de plateforme par défaut pour le matériel disponible ou le profil de validation de plateforme spécifié par le script d'installation. Un profil de validation de plateforme se compose d'un ensemble d'indices de registre de configuration de plateforme (PCR) variant de 0 à 23.

Sur les ordinateurs qui n'ont pas de prise en charge de l'état de démarrage sécurisé (PCR 7), le profil de validation de la plateforme par défaut sécurise la clé de chiffrement en fonction des modifications apportées au code exécutable du microprogramme du système de base (PCR 0), au code exécutable étendu ou enfichable (PCR 2), au gestionnaire de démarrage (PCR 4) et au contrôle d'accès BitLocker (PCR 11).

Si la prise en charge de l'état de démarrage sécurisé (PCR 7) est disponible, le profil de validation de la plateforme par défaut sécurise la clé de chiffrement en utilisant l'état de démarrage sécurisé (PCR 7) et le contrôle d'accès BitLocker (PCR 11).

Avertissement : la modification du profil de validation de plateforme par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l'inclusion ou de l'exclusion (respectivement) des PCR. en particulier, la définition de cette stratégie avec PCR 7 omis remplace la stratégie de groupe « Autoriser le démarrage sécurisé pour la validation de l'intégrité », ce qui empêche BitLocker d'utiliser le démarrage sécurisé pour la plateforme ou la validation d'intégrité Données de configuration de démarrage (BCD). La définition de cette stratégie peut entraîner la récupération de BitLocker lors de la mise à jour du microprogramme. Si vous définissez cette stratégie de manière à inclure PCR 0, suspendez BitLocker avant d'appliquer les mises à jour du microprogramme.

Il est recommandé de ne pas configurer cette stratégie pour permettre à Windows de sélectionner le profil PCR pour la meilleure combinaison de sécurité et d'utilisation basée sur le matériel disponible sur chaque PC.

Pris en charge sur : Au minimum Windows Server 2012, Windows 8 ou Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s'exécutent au démarrage de Windows.

Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil.

Soyez prudent en modifiant ce paramétrage.

Nous recommandons les PCR par défaut : 0, 2, 4 et 11.

Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11.

Consultez la documentation en ligne pour plus d'informations sur les avantages et les risques de modifier le profil de validation de plateforme du module de plateforme sécurisée.

PCR 0 : Code exécutable du microprogramme du système noyau
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1 : Données du microprogramme du système noyau
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2 : Code exécutable étendu ou enfichable
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3 : Données du microprogramme étendu ou enfichable
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4 : Gestionnaire de démarrage
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5 : GPT / Table de partition
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6 : Reprendre à partir des événements d'état d'alimentation S4 et S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7 : État du démarrage sécurisé
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11 : Contrôle d'accès BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12 : Événements de données et événements fortement volatiles
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13 : Détails du module de démarrage
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14 : Autorités de démarrage
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Modèles d'administration (ordinateurs)

Modèles d'administration (utilisateurs)