기본 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정으로 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어로 BitLocker 암호화 키의 보안을 유지하는 방법을 구성할 수 있습니다. 컴퓨터에 호환되는 TPM이 없거나 이미 BitLocker가 TPM 보호 기능과 함께 설정된 경우에는 이 정책 설정이 적용되지 않습니다.

중요:이 그룹 정책은 기본 UEFI 펌웨어 구성을 사용하는 컴퓨터에만 적용됩니다. CSM(호환성 서비스 모듈)을 지원하는 UEFI 펌웨어 또는 BIOS를 사용하는 컴퓨터는 PCR(플랫폼 구성 레지스터)에 다른 값을 저장 합니다. "BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성" 그룹 정책 설정을 사용하여 BIOS 구성을 사용하는 컴퓨터나 CSM을 지원하는 UEFI 펌웨어를 사용하는 컴퓨터에 대한 TPM PCR 프로필을 구성할 수 있습니다.

BitLocker를 사용하도록 설정하기 전에 이 정책 설정을 사용하면 BitLocker로 암호화된 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM에서 검사할 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경될 경우 TPM은 암호화 키를 해제하여 드라이브의 잠금을 해제하지 않으며, 대신 컴퓨터에서 BitLocker 복구 콘솔을 표시하고 드라이브의 잠금을 해제하려면 복구 암호나 복구 키를 입력하라고 요구합니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker에서 기본 플랫폼 유효성 검사 프로필이나 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다. 플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 세트로 구성됩니다.

보안 부트 상태(PCR 7) 지원이 없는 PC에서 기본 플랫폼 유효성 검사 프로필은 암호화 키가 핵심 시스템 펌웨어 실행 코드(PCR 0), 확장 또는 연결 가능 실행 코드(PCR 2), 부트 관리자(PCR 4) 및 BitLocker 액세스 제어(PCR 11)를 변경하지 못하도록 보호합니다.

보안 부트 상태(PCR 7) 지원을 사용할 수 있는 경우 기본 플랫폼 유효성 검사 프로필은 보안 부트 상태(PCR 7) 및 BitLocker 액세스 제어(PCR 11)를 사용하여 암호화 키를 보호합니다.

경고: 기본 플랫폼 유효성 검사 프로필을 변경하면 컴퓨터의 보안과 관리 효율에 영향을 줍니다. 악의적이거나 허가된 플랫폼 수정에 대한 BitLocker의 민감도는 PCR의 포함 여부에 따라 증가하거나 감소합니다. 특히 PCR 7을 생략한 상태로 이 정책을 설정하면 "무결성 확인 시 보안 부팅 허용" 그룹 정책이 다시 정의되어 BitLocker에서 플랫폼 또는 BCD(부팅 구성 데이터) 무결성 확인 시 보안 부팅을 사용할 수 없습니다. 이 정책을 설정하면 펌웨어를 업데이트할 때 BitLocker 복구가 발생할 수 있습니다. PCR 0을 포함하도록 이 정책을 설정하면 펌웨어 업데이트를 적용하기 전에 BitLocker를 일시 중단하십시오.

각 PC의 사용 가능한 하드웨어를 기반으로 보안 및 유용성의 조합이 최상인 PCR 프로필을 Windows에서 선택할 수 있게 하려면 이 정책을 구성하지 않는 것이 좋습니다.

지원: Windows Server 2012, Windows 8 또는 Windows RT 이상

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

플랫폼 유효성 검사 프로필은 PCR(플랫폼 구성 레지스터) 인덱스 세트로 구성됩니다. 각 PCR 인덱스는 Windows 시작 시에 실행되는 구성 요소와 연결됩니다.

아래 확인란을 사용하여 프로필에 포함할 PCR 인덱스를 선택합니다.

이 설정을 변경할 때는 주의하십시오.

기본값인 PCR 0, 2, 4 및 11을 사용하는 것이 좋습니다.

BitLocker 보호 기능을 사용하려면 PCR 11을 포함시켜야 합니다.

기본 TPM 플랫폼 유효성 검사 프로필을 변경함에 따른 장점과 위험에 대한 자세한 내용은 온라인 설명서를 참조하십시오.

PCR 0: 핵심 시스템 펌웨어 실행 코드
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: 핵심 시스템 펌웨어 데이터
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: 확장 또는 연결 가능 실행 코드
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: 확장 또는 연결 가능 펌웨어 데이터
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: 부팅 관리자
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/파티션 테이블
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: S4 및 S5 전원 상태 이벤트에서 다시 시작
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: 보안 부팅 상태
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: 0으로 초기화됨, 확장 없음(예약됨)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: 0으로 초기화됨, 확장 없음(예약됨)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: 0으로 초기화됨, 확장 없음(예약됨)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker 액세스 제어
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: 데이터 이벤트 및 고휘발성 이벤트
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: 부트 모듈 세부 정보
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: 부팅 권한
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

관리 템플릿(컴퓨터)

관리 템플릿(사용자)