Konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner

Med denne policyinnstillingen kan du konfigurere hvordan datamaskinens sikkerhetsmaskinvare for klarert plattformmodul (TPM) skal sikre BitLocker-krypteringsnøkkelen. Denne policyinnstillingen gjelder ikke hvis datamaskinen ikke har en kompatibel TPM, eller hvis BitLocker allerede er aktivert med TPM-beskyttelse.

Viktig!  Denne gruppepolicyen gjelder bare for datamaskiner med en opprinnelig UEFI-fastvarekonfigurasjon. Datamaskiner med BIOS eller UEFI-fastvare med kompatibilitetsservicemodus (CSM) aktivert lagrer ulike verdier i plattformkonfigurasjonsregistrene (PCR-er). Bruk gruppepolicyinnstillingen Konfigurer valideringsprofil for TPM-plattform for BIOS-baserte fastvarekonfigurasjoner for å konfigurere TPM PCR-profilen for datamaskiner med BIOS-konfigurasjoner eller datamaskiner med UEFI-fastvare med en CSM aktivert.

Hvis du aktiverer denne policyinnstillingen før du aktiverer BitLocker, kan du konfigurere oppstartskomponentene som TPM skal validere før du låser opp tilgangen til den BitLocker-krypterte operativsystemstasjonen. Hvis noen av disse komponentene endres mens BitLocker-beskyttelsen er aktivert, vil ikke TPM frigi krypteringsnøkkelen for å låse opp stasjonen, og datamaskinen vil i stedet vise BitLocker-gjenopprettingskonsollen og kreve at enten gjenopprettingspassordet eller gjenopprettingsnøkkelen angis for å låse opp stasjonen.

Hvis du deaktiverer eller ikke aktiverer denne policyinnstillingen, bruker BitLocker standard plattformvalideringsprofil for den tilgjengelige maskinvaren eller plattformvalideringsprofilen angitt av installasjonsskriptet. En plattformvalideringsprofil består av et sett PCR-indekser (Platform Configuration Register) som går fra 0 til 23.

På PC-er som mangler støtte for sikker oppstart (PCR 7), sikrer standard plattformvalideringsprofil krypteringsnøkkelen mot endringer i kjernesystemets kjørbare kode for fastvare (PCR 0), utvidet eller tilkoblet kjørbar kode (PCR 2), Boot Manager (PCR 4) og BitLocker tilgangskontroll (PCR 11).

Når støtte for tilstand for sikker oppstart (PCR7) er tilgjengelig, sikrer standard plattformvalideringsprofil at krypteringsnøkkelen bruker tilstand for sikker oppstart (PCR 7) og BitLocker tilgangskontroll (PCR 11).

Advarsel!  Når du endrer fra standard plattformvalideringsprofil, påvirkes sikkerheten og administrerbarheten til datamaskinen. BitLockers følsomhet for plattformendringer (ondsinnede eller autoriserte) økes eller reduseres avhengig av (henholdsvis) inkludering eller eksklusjon av PCR-er. Når du angir denne policyen med PCR 7 utelatt, overstyrer du gruppepolicyen Tillat sikker oppstart for integritetsvalidering, noe som hindrer BitLocker fra å bruke Sikker oppstart for plattform eller Integritetsvalidering for konfigurasjonsdata for oppstart (BCD). Hvis du angir denne policyen, kan det føre til BitLocker-gjenoppretting når fastvaren oppdateres. Hvis du angir at denne policyen skal inkludere PCR 0, avbryter du BitLocker før du tar i bruk fastvareoppdateringer.

Det anbefales ikke å konfigurere denne policyen, slik at Windows kan velge PCR-profilen for den beste kombinasjonen av sikkerhet og brukbarhet, basert på den tilgjengelige maskinvaren på hver PC.

Støttes av: Minst Windows Server 2012, Windows 8 eller Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

En plattformvalideringsprofil består av et sett med PCR-indekser (Platform Configuration Register). Hver PCR-indeks er tilknyttet komponenter som kjører når Windows starter.

Bruk avmerkingsboksene nedenfor til å velge hvilke PCR-indekser som skal inkluderes i profilen.

Vær forsiktig når du endrer denne policyinnstillingen.

Vi anbefaler standardinnstillingen for PCRene 0, 2, 4 og 11.

For at BitLocker-beskyttelse skal fungere, må du ta med PCR 11.

Se dokumentasjon på Internett for mer informasjon om fordeler og risikoer ved endring av standard TPM-plattformvalideringsprofil.

PCR 0: Kjørbar kode for kjernesystemfastvare
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Data for kjernesystemfastvare
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Utvidet eller tilkoblet kjørbar kode
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Utvidede eller tilkoblede fastvaredata
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Oppstartsbehandling
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT / partisjonstabell
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Fortsett fra strømtilstandshendelsene S4 og S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Tilstand for sikker oppstart
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Initialisert til 0 uten utvidelser (reservert for fremtidig bruk)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Initialisert til 0 uten utvidelser (reservert for fremtidig bruk)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Initialisert til 0 uten utvidelser (reservert for fremtidig bruk)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker-tilgangskontroll
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Datahendelser og svært dynamiske hendelser
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Detaljer for oppstartsmodul
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Oppstartsinstanser
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reservert for fremtidig bruk
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Administrative maler (datamaskiner)

Administrative maler (brukere)