A TPM platformérvényesítési profil konfigurálása natív UEFI belsővezérlőprogram-konfigurációk esetében
Ezzel a házirend-beállítással konfigurálhatja, hogy a számítógép platformmegbízhatósági moduljának (TPM) biztonsági hardvere hogyan védje a BitLocker titkosítási kulcsát. A házirend-beállítás nem érvényes, ha a számítógép nem rendelkezik kompatibilis TPM-mel, vagy ha a BitLocker már TPM-védelemmel lett bekapcsolva.
Fontos: Ez a csoportházirend csak natív UEFI belsővezérlőprogram-konfigurációval rendelkező számítógépekre vonatkozik. A BIOS vagy UEFI belső vezérlőprogrammal rendelkező számítógépek, amelyeken engedélyezve van a Kompatibilitási szolgáltatás modul (CSM), más értékeket tárolnak a platformkonfigurációs regiszterekben (PCR). A TPM platformérvényesítési profil konfigurálása a BIOS-alapú belső vezérlőprogram konfigurációk számára" csoportházirend-beállítás használatával beállíthatja a TPM PCR-profilt a BIOS konfigurációjú vagy az UEFI belső vezérlőprogrammal rendelkező számítógépek számára, amelyeken engedélyezve van a Kompatibilitási szolgáltatás modul (CSM).
Ha a BitLocker bekapcsolása előtt engedélyezi ezt a házirend-beállítást, konfigurálhatja azokat a rendszerindítási összetevőket, amelyeket a TPM érvényesíteni fog, mielőtt feloldja a BitLocker-titkosítású operációsrendszer-meghajtóhoz való hozzáférés zárolását. Ha ezen összetevők bármelyikét módosítják, miközben a BitLocker-védelem érvényben van, a TPM nem szabadítja fel a titkosítási kulcsot a meghajtó zárolásának feloldásához. A számítógép ehelyett a BitLocker helyreállítási konzolt jeleníti meg, és a helyreállítási jelszó vagy a helyreállítási kulcs megadását kéri a meghajtó zárolásának feloldásához.
Ha letiltja vagy nem konfigurálja a házirend-beállítást, a BitLocker az alapértelmezett platformérvényesítési profilt használja az elérhető hardverhez vagy a telepítési parancsfájl által megadott platformérvényesítési profilhoz.
A platformérvényesítési profil platformkonfigurációs regiszter- (PCR-) indexek 0 és 23 közötti készletét tartalmazza.
Azokon a számítógépeken, amelyeken a Biztonságos rendszerindítási állapot (PCR 7) nem támogatott, az alapértelmezett platformérvényesítési profil biztosítja a titkosítási kulcs védelmét a fő rendszerszintű belső vezérlőprogram végrehajtható kódja (PCR 0), a bővített vagy moduláris végrehajtható kód (PCR 2), a rendszertöltés-vezérlő (PCR 4), valamint a BitLocker hozzáférés-vezérlés (PCR 11) módosításai esetén.
Figyelmeztetés: Az alapértelmezett platformérvényesítési profil módosítása hatással van a számítógép biztonságára és kezelhetőségére. A BitLocker platformmódosításokra (rosszindulatú vagy engedélyezett) való érzékenysége a PCR-ek belefoglalásától vagy kizárásától függően nő vagy csökken. Ha ezt a házirendet a PCR 7 kihagyásával állítja be, azzal felülírja a Biztonságos rendszerindítás engedélyezése az integritás-ellenőrzéshez" csoportházirendet, és megakadályozza, hogy a BitLocker a Biztonságos rendszerindítás szolgáltatást használja a platform vagy a rendszerindítási konfigurációs adatok (BCD) integritás-ellenőrzéséhez. A házirend beállítása a belső vezérlőprogram frissítésekor BitLocker-alapú helyreállítást eredményezhet. Ha a házirendet úgy állítja be, hogy az tartalmazza a PCR 0 beállítást, a belső vezérlőprogram frissítéseinek alkalmazása előtt függessze fel a BitLocker szolgáltatást.
Nem ajánlott konfigurálni ezt a házirendet, ha azt szeretné, hogy a Windows válassza ki a biztonság és használhatóság legjobb kombinációjának eléréséhez szükséges PCR-profilt az egyes számítógépeken rendelkezésre álló hardverek alapján.
Támogatott a következőn: Legalább Windows Server 2012, Windows 8 vagy Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
A platformérvényesítési profil platformkonfigurációs regiszterek (PCR) indexeinek halmaza. Az egyes PCR-indexek olyan összetevőkhöz vannak társítva, amelyek a Windows indulásakor futnak.
Az alábbi jelölőnégyzetekkel kiválaszthatja, hogy melyik PCR-indexeket tartalmazza a profil.
A beállítás módosításakor figyelmesen járjon el.
Ajánlott a 0, 2, 4 és 11 számú alapértelmezett PCR regiszterek használata.
A BitLocker védelme akkor hatásos, ha meghatározza a PCR 11 védelmet.
Az alapértelmezett TPM platformérvényesítési profil megváltoztatásának előnyeiről és kockázatairól az online dokumentációban talál további tájékoztatást.
PCR 0: A fő rendszerszintű belső vezérlőprogram végrehajtható kódja
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: A fő rendszerszintű belső vezérlőprogram adatai
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: Bővített vagy moduláris végrehajtható kód
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: A belső vezérlőprogram bővített vagy moduláris adatai
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Rendszerindítás-kezelő
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT / partíciós tábla
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Folytatás az S4 és S5 energiaállapot-eseménytől
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Biztonságos rendszerindítási állapot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: 0 értékre inicializálva, kiterjesztés nélkül (későbbi használatra fenntartva)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: 0 értékre inicializálva, kiterjesztés nélkül (későbbi használatra fenntartva)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: 0 értékre inicializálva, kiterjesztés nélkül (későbbi használatra fenntartva)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker hozzáférés-vezérlés
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: Adatesemények és nagy mértékben ideiglenes események
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: Rendszerindítási modul részletei
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: Rendszerindítási hitelesítésszolgáltató
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: Későbbi használatra fenntartva
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx