Sicheren Start für Integritätsüberprüfung zulassen

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob der sichere Start als Plattformintegritätsanbieter für BitLocker-Betriebssystemlaufwerke zulässig sein soll.

Mit dem sicheren Start wird gewährleistet, dass in der PC-Umgebung vor dem Start nur Firmware geladen wird, die von autorisierten Softwareherausgebern digital signiert wurde. Der sichere Start bietet zudem mehr Flexibilität bei der Verwaltung von Konfigurationen vor dem Start als die BitLocker-Integritätsprüfungen in Vorgängerversionen.

Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, wird von BitLocker der sichere Start für die Plattformintegrität verwendet, sofern die Plattform die auf dem sicheren Start basierende Integritätsüberprüfung unterstützt.

Wenn Sie diese Richtlinieneinstellung deaktivieren, wird von BitLocker die Plattformintegritätsüberprüfung einer Vorgängerversion verwendet. Dies ist auch bei Systemen der Fall, die die auf dem sicheren Start basierende Integritätsüberprüfung unterstützen.

Wenn Sie diese Richtlinie aktivieren und die Hardware für die Verwendung des sicheren Starts in BitLocker-Szenarien geeignet ist, wird die Gruppenrichtlinieneinstellung "Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden" ignoriert, und die BCD-Einstellungen werden vom sicheren Start gemäß der separat von BitLocker konfigurierten Richtlinieneinstellung für den sicheren Start überprüft.

Hinweis: Wenn die Gruppenrichtlinieneinstellung "TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren" ohne PCR 7 aktiviert wurde, wird verhindert, dass der sichere Start von BitLocker für die Überprüfung der Integrität der Plattform oder der Startkonfigurationsdaten (Boot Configuration Data, BCD) verwendet wird.

Warnung: Wenn diese Richtlinie deaktiviert ist, wird beim Firmwareupdate u. U. eine BitLocker-Wiederherstellung durchgeführt. Wenn Sie diese Richtlinie deaktivieren, sollten Sie BitLocker vor dem Installieren von Firmwareupdates anhalten.

Unterstützt auf: Mindestens Windows Server 2012, Windows 8 oder Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameOSAllowSecureBootForIntegrity
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

volumeencryption.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)