UEFI bellenim yapılandırmaları için TPM platformu doğrulaması profilini yapılandır

Bu ilke ayarı, bilgisayarın Güvenilir Platform Modülü (TPM) güvenlik donanımının BitLocker şifreleme anahtarını nasıl koruyacağını yapılandırmanızı sağlar. Bilgisayarda uyumlu bir TPM yoksa veya TPM korumasıyla BitLocker zaten açılmışsa bu ilke ayarı geçerli değildir.

Önemli: Bu grup ilkesi, yalnızca yerel UEFI üretici yazılımı yapılandırmasına sahip bilgisayarlar için geçerlidir. BIOS ya da etkin Uyumluluk Hizmet Modülü (CSM) olan UEFI üretici yazılımına sahip bilgisayarlar, Platform Yapılandırma Yazmaçları'nda (PCR) farklı değerler depolar. BIOS yapılandırması veya CMS etkin olarak UEFI üretici yazılımına sahip bilgisayarlar için TPM PCR profilini yapılandırmak amacıyla "BIOS tabanlı üretici yazılımı yapılandırmaları için TPM platform doğrulama profilini yapılandır" grup ilkesi ayarını kullanın.

BitLocker'ı açmadan önce bu ilke ayarını etkinleştirirseniz TPM'nin BitLocker ile şifrelenmiş işletim sistemi sürücüsüne erişim kilidini kaldırmadan önce doğrulayacağı önyükleme bileşenlerini yapılandırabilirsiniz. BitLocker koruması etkinken bu bileşenlerden biri değişirse TPM, sürücünün kilidini açmak için şifreleme anahtarını bırakmayacak, bunun yerine bilgisayar, BitLocker Kurtarma konsolunu gösterecek ve sürücünün kilidini açmak için kurtarma parolasının ya da kurtarma anahtarının sağlanmasını isteyecektir.

Bu ilke ayarını devre dışı bırakırsanız ya da yapılandırmazsanız BitLocker, kullanılabilir donanım için varsayılan platform doğrulama profilini veya kurulum betiği tarafından belirtilen platform doğrulama profilini kullanır. Bir platform doğrulama profili, 0 ile 23 arasında değişen bir dizi Platform Yapılandırma Yazmacı (PCR) dizininden oluşur.

Güvenli Önyükle Durumu (PCR 7) desteği olmayan bilgisayarlarda varsayılan platform doğrulama profili, çekirdek sistemi üretici yazılımı yürütme kodu (PCR 0), genişletilmiş veya eklenebilir yürütme kodu (PCR 2), önyükleme yöneticisi (PCR 4) ve BitLocker erişim denetimindeki (PCR 11) değişikliklere karşı şifreleme anahtarının güvenliğini sağlar.

Güvenli Önyükle Durumu (PCR7) desteği mevcut olduğunda varsayılan platform doğrulama profili, Güvenli Önyükle Durumu (PCR 7) ve BitLocker erişim denetimini (PCR 11) kullanarak şifreleme anahtarının güvenliğini sağlar.

Uyarı: Varsayılan profili başka bir profille değiştirmek, bilgisayarınızın güvenliğini ve yönetilebilirliğini etkiler. BitLocker'ın platform değişikliklerine (kötü amaçlı veya yetkili) duyarlılığı, PCR'lerin dâhil edilmesine veya dışlanmasına bağlı olarak artar veya azalır. Özellikle, bu ilkenin PCR 7 atlanmış olarak ayarlanması, BitLocker'ın platform için Güvenli Önyükleme veya Önyükleme Yapılandırma Verileri (BCD) bütünlük doğrulamasını kullanmasını engelleyerek "Bütünlük doğrulaması için Güvenli Önyükleme'ye izin ver" grup ilkesinin üzerine yazar. Bu ilkeyi ayarlamak, üretici yazılımı güncelleştirildiğinde BitLocker'ın kurtarılmasına yol açabilir. Bu ilkeyi PCR 0 içerecek şekilde ayarlarsanız üretici yazılımı güncelleştirmelerini uygulamadan önce BitLocker'ı askıya alın.

Windows'un, her bir bilgisayardaki mevcut donanıma göre en iyi güvenlik ve kullanılabilirlik birleşimi için PCR profilini seçmesine izin vermek amacıyla bu ilkeyi yapılandırmamanız önerilir.

Destek yeri: En az Windows Server 2012, Windows 8 veya Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Bir platform doğrulama profili bir grup Platform Yapılandırma Kayıt Defteri (PCR) dizininden oluşur. Her PCR dizini, Windows başladığında çalışan bileşenler ile ilişkilendirilir.

Profile katılacak PCR dizinlerini seçmek için aşağıdaki onay kutularını kullanın.

Bu ayarı değiştirirken dikkatli olun.

PCR'lerin varsayılan değerleri olan 0, 2, 4 ve 11'i öneririz.

Her iki zamanlama seçeneğinde sunucuyu aynı anda yapılan karşı yüklemeler ile aşırı yüklemekten kaçınmak için tetik başına rastgele bir saatlik bir gecikme vardır.

TPM platformu doğrulama profilini değiştirmenin getirileri ve tehlikeleri hakkında daha fazla bilgi için çevrimiçi belgelere bakın.

PCR 0: Çekirdek Sistemi Bellenimi yürütme kodu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Çekirdek Sistemi Bellenimi verileri
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Genişletilmiş veya eklenebilir yürütme kodu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Genişletilmiş veya eklenebilir bellenim verileri
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Önyükleme Yöneticisi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT / Bölüm Tablosu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: S4 ve S5 Güç Durumu Olaylarından devam et
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Güvenli Önyükleme Durumu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Uzantılar olmadan 0 olarak başlatıldı (gelecekte kullanılmak üzere ayrılmış)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Uzantılar olmadan 0 olarak başlatıldı (gelecekte kullanılmak üzere ayrılmış)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Uzantılar olmadan 0 olarak başlatıldı (gelecekte kullanılmak üzere ayrılmış)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker Erişim Denetimi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Veri olayları ve yüksek geçici olaylar
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Önyükleme Modülü Ayrıntıları
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Önyükleme Yetkilileri
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Yönetim Şablonları (Bilgisayarlar)

Yönetim Şablonları (Kullanıcılar)