Med denne politikindstilling kan du konfigurere, om sikker bootstart er tilladt som udbyder af platformsintegritet for BitLocker-beskyttede operativsystemdrev.
Sikker bootstart medfører, at pc'ens pre-boot-miljø kun indlæser firmware, der er digitalt signeret af autoriserede softwareudgivere. Sikker bootstart giver også mere fleksibilitet ved administration af pre-boot-konfiguration end ældre BitLocker-integritetskontroller.
Hvis du aktiverer eller undlader at konfigurere denne politikindstilling, bruger BitLocker sikker bootstart til platformsintegritet, hvis integritetsvalidering baseret på sikker bootstart er mulig på platformen.
Hvis du deaktiverer denne politikindstilling, bruger BitLocker ældre validering af platformsintegritet, også på systemer hvor integritetsvalidering baseret på sikker bootstart er mulig.
Når denne politik er aktiveret, og hardwaren kan udføre sikker bootstart i BitLocker-konfigurationer, ignoreres gruppepolitikindstillingen "Brug forbedret valideringsprofil til konfigurationsdata til bootstart", og sikker bootstart kontrollerer BCD-indstillinger i henhold til politikindstillingen for sikker bootstart, som er konfigureret adskilt fra BitLocker.
Bemærk! Hvis gruppepolitikindstillingen "Konfigurer TPM-profil til platformsvalidering for indbyggede UEFI-firmwarekonfigurationer" er aktiveret, og PCR 7 er udeladt, forhindres BitLocker i at bruge sikker bootstart til validering af platforms- eller BCD-integritet (Boot Configuration Data).
Advarsel: Hvis du deaktiverer denne politikindstilling, kan det resultere i BitLocker-genoprettelse, når firmware opdateres. Hvis du deaktiverer denne politikindstilling, skal du afbryde BitLocker før anvendelse af firmwareopdateringer.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\FVE |
| Value Name | OSAllowSecureBootForIntegrity |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |