Konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner
Med denne policyinnstillingen kan du konfigurere hvordan datamaskinens sikkerhetsmaskinvare for klarert plattformmodul (TPM) skal sikre BitLocker-krypteringsnøkkelen. Denne policyinnstillingen gjelder ikke hvis datamaskinen ikke har en kompatibel TPM, eller hvis BitLocker allerede er aktivert med TPM-beskyttelse.
Viktig! Denne gruppepolicyen gjelder bare for datamaskiner med en opprinnelig UEFI-fastvarekonfigurasjon. Datamaskiner med BIOS eller UEFI-fastvare med kompatibilitetsservicemodus (CSM) aktivert lagrer ulike verdier i plattformkonfigurasjonsregistrene (PCR-er). Bruk gruppepolicyinnstillingen Konfigurer valideringsprofil for TPM-plattform for BIOS-baserte fastvarekonfigurasjoner for å konfigurere TPM PCR-profilen for datamaskiner med BIOS-konfigurasjoner eller datamaskiner med UEFI-fastvare med en CSM aktivert.
Hvis du aktiverer denne policyinnstillingen før du aktiverer BitLocker, kan du konfigurere oppstartskomponentene som TPM skal validere før du låser opp tilgangen til den BitLocker-krypterte operativsystemstasjonen. Hvis noen av disse komponentene endres mens BitLocker-beskyttelsen er aktivert, vil ikke TPM frigi krypteringsnøkkelen for å låse opp stasjonen, og datamaskinen vil i stedet vise BitLocker-gjenopprettingskonsollen og kreve at enten gjenopprettingspassordet eller gjenopprettingsnøkkelen angis for å låse opp stasjonen.
Hvis du deaktiverer eller ikke aktiverer denne policyinnstillingen, bruker BitLocker standard plattformvalideringsprofil for den tilgjengelige maskinvaren eller plattformvalideringsprofilen angitt av installasjonsskriptet. En plattformvalideringsprofil består av et sett PCR-indekser (Platform Configuration Register) som går fra 0 til 23.
På PC-er som mangler støtte for sikker oppstart (PCR 7), sikrer standard plattformvalideringsprofil krypteringsnøkkelen mot endringer i kjernesystemets kjørbare kode for fastvare (PCR 0), utvidet eller tilkoblet kjørbar kode (PCR 2), Boot Manager (PCR 4) og BitLocker tilgangskontroll (PCR 11).
Når støtte for tilstand for sikker oppstart (PCR7) er tilgjengelig, sikrer standard plattformvalideringsprofil at krypteringsnøkkelen bruker tilstand for sikker oppstart (PCR 7) og BitLocker tilgangskontroll (PCR 11).
Advarsel! Når du endrer fra standard plattformvalideringsprofil, påvirkes sikkerheten og administrerbarheten til datamaskinen. BitLockers følsomhet for plattformendringer (ondsinnede eller autoriserte) økes eller reduseres avhengig av (henholdsvis) inkludering eller eksklusjon av PCR-er. Når du angir denne policyen med PCR 7 utelatt, overstyrer du gruppepolicyen Tillat sikker oppstart for integritetsvalidering, noe som hindrer BitLocker fra å bruke Sikker oppstart for plattform eller Integritetsvalidering for konfigurasjonsdata for oppstart (BCD). Hvis du angir denne policyen, kan det føre til BitLocker-gjenoppretting når fastvaren oppdateres. Hvis du angir at denne policyen skal inkludere PCR 0, avbryter du BitLocker før du tar i bruk fastvareoppdateringer.
Det anbefales ikke å konfigurere denne policyen, slik at Windows kan velge PCR-profilen for den beste kombinasjonen av sikkerhet og brukbarhet, basert på den tilgjengelige maskinvaren på hver PC.
Støttes av: Minst Windows Server 2012, Windows 8 eller Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
En plattformvalideringsprofil består av et sett med PCR-indekser (Platform Configuration Register). Hver PCR-indeks er tilknyttet komponenter som kjører når Windows starter.
Bruk avmerkingsboksene nedenfor til å velge hvilke PCR-indekser som skal inkluderes i profilen.
Vær forsiktig når du endrer denne policyinnstillingen.
Vi anbefaler standardinnstillingen for PCRene 0, 2, 4 og 11.
For at BitLocker-beskyttelse skal fungere, må du ta med PCR 11.
Se dokumentasjon på Internett for mer informasjon om fordeler og risikoer ved endring av standard TPM-plattformvalideringsprofil.
PCR 0: Kjørbar kode for kjernesystemfastvare
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: Data for kjernesystemfastvare
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: Utvidet eller tilkoblet kjørbar kode
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: Utvidede eller tilkoblede fastvaredata
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Oppstartsbehandling
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT / partisjonstabell
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Fortsett fra strømtilstandshendelsene S4 og S5
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Tilstand for sikker oppstart
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: Initialisert til 0 uten utvidelser (reservert for fremtidig bruk)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: Initialisert til 0 uten utvidelser (reservert for fremtidig bruk)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: Initialisert til 0 uten utvidelser (reservert for fremtidig bruk)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker-tilgangskontroll
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: Datahendelser og svært dynamiske hendelser
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: Detaljer for oppstartsmodul
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: Oppstartsinstanser
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: Reservert for fremtidig bruk
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx