Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI
Этот параметр политики позволяет указать, как оборудование безопасности доверенного платформенного модуля компьютера обеспечивает безопасность ключа шифрования BitLocker. Этот параметр политики неприменим, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.
Внимание! Эта групповая политика применима только к компьютерам с основной конфигурацией встроенного ПО UEFI. Компьютеры со встроенным ПО BIOS или UEFI и включенным модулем службы совместимости (CSM) сохраняют разные значения в регистрах конфигурации платформы. Используйте параметр групповой политики "Настройка профиля проверки платформы доверенного платформенного модуля для конфигураций встроенного ПО на базе BIOS", чтобы настроить профиль регистра конфигурации платформы доверенного платформенного модуля на компьютерах с конфигурациями BIOS или встроенным ПО UEFI и включенным CSM.
Если вы включили этот параметр политики до включения BitLocker, вы можете настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед разблокировкой доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования диска, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием предоставить ключ восстановления или пароль восстановления для разблокировки диска.
Если вы отключите или не настроите этот параметр политики, доверенный платформенный модуль использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы (PCR) в диапазоне от 0 до 23.
На компьютерах без поддержки состояния защищенной загрузки (PCR 7) профиль проверки платформы по умолчанию защищает ключ шифрования от изменения исполняемого кода базового системного встроенного ПО (PCR 0), расширенного или подключаемого исполняемого кода (PCR 2), диспетчера загрузки (PCR 4) и управления доступом BitLocker (PCR 11).
Если доступна поддержка состояния защищенной загрузки (PCR7), профиль проверки платформы по умолчанию защищает ключ шифрования с помощью состояния защищенной загрузки (PCR 7) управления доступом BitLocker (PCR 11).
Внимание! Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы. В частности, настройка этого параметра политики с пропуском PCR 7 переопределит групповую политику "Разрешить защищенную загрузку для проверки целостности" и запретит программе BitLocker использовать защищенную загрузку для проверки целостности платформы или данных конфигурации загрузки. Настройка этого параметра политики может привести к восстановлению BitLocker при обновлении встроенного ПО. Если этот параметр политики установлен на включение реестра конфигурации платформы 0, приостановите BitLocker перед применением обновлений встроенного ПО.
Рекомендуется не настраивать эту политику, чтобы разрешить Windows выбирать профиль PCR для наилучшей комбинации безопасности и удобства на основании доступного оборудования на каждом компьютере.
Поддерживается: Не ниже Windows Server 2012, Windows 8 или Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Профиль проверки платформы состоит из набора индексов PCR (регистр конфигурации платформы). Каждый индекс PCR связан с компонентами, запускаемыми при запуске Windows.
Используйте флажки ниже для выбора индексов PCR, включаемых в профиль.
Соблюдайте осторожность при изменении этого параметра.
Рекомендуется по умолчанию использовать PCR 0, 2, 4 и 11.
Чтобы защита BitLocker вступила в силу, необходимо включить PCR 11.
Дополнительные сведения о преимуществах и рисках изменения профиля проверки платформы TPM по умолчанию см. в документации в Интернете.
PCR 0: Исполняемый код базового системного встроенного ПО
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: Данные базового системного встроенного ПО
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: Расширенный или подключаемый исполняемый код
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: Расширенные или подключаемые данные встроенного ПО
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Диспетчер загрузки
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT/Таблица разделов
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Возобновить из событий состояния питания S4 и S5
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Состояние защищенной загрузки
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: Инициализировано в 0 без расширений (зарезервировано для будущего использования)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: Инициализировано в 0 без расширений (зарезервировано для будущего использования)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: Инициализировано в 0 без расширений (зарезервировано для будущего использования)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: Управление доступом BitLocker
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: События, инициируемые изменением данных, и крайне переменные события
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: Сведения о модуле загрузки
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: Центры загрузки
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: Зарезервировано для будущего использования
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx