Met deze beleidsinstelling kunt u bepalen of het Beveiligd opstarten is toegestaan als platform voor de integriteitsprovider van stations van BitLocker-besturingssystemen.
Het Beveiligd opstarten zorgt ervoor dat in de PXE-omgeving alleen firmware wordt geladen met digitale handtekeningen van erkende uitgevers van software. Het Beveiligd opstarten zorgt voor meer flexibiliteit bij het beheren van de PXE-configuratie dan verouderde controles van de systeemintegriteit van BitLocker.
Als u deze beleidsinstelling inschakelt of niet configureert, gebruikt BitLocker Beveiligd opstarten voor platformintegriteit als het platform geschikt is voor integriteitsvalidatie via Beveiligd opstarten.
Als u deze beleidsinstelling uitschakelt, gebruikt BitLocker het verouderde platform voor de integriteitsvalidatie, zelfs voor systemen die geschikt zijn voor het Beveiligd opstarten voor integriteitsvalidatie.
Als de beleidsinstelling is ingeschakeld en de hardware geschikt is voor het gebruik van Beveiligd opstarten voor BitLocker-scenario's, wordt het groepsbeleid "Verbeterd validatieprofiel opstartconfiguratiegegevens gebruiken" genegeerd en controleert Beveiligd opstarten de BCD-instellingen overeenkomstig de beleidsinstelling voor Beveiligd opstarten, die expliciet voor de BitLocker is geconfigureerd.
Opmerking: als de groepsbeleidinstelling "Profiel voor TPM-platformvalidatie configureren voor eigen UEFI-firmwareconfiguraties" is ingeschakeld en PCR 7 is weggelaten, zal worden voorkomen dat BitLocker gebruik maakt van Beveiligd opstarten als platform of van de BCD- integriteitsvalidatie (Boot Configuration Data).
Waarschuwing: het uitschakelen van dit beleid kan leiden tot herstel door BitLocker wanneer de firmware wordt bijgewerkt. Als u dit beleid uitschakelt, onderbreekt u BitLocker voordat u firmware-updates toepast.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\FVE |
| Value Name | OSAllowSecureBootForIntegrity |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |