允許使用安全開機來進行完整性驗證

這個原則設定可讓您設定是否允許安全開機做為 BitLocker 作業系統磁碟機的平台完整性提供者。

安全開機可確保電腦的開機前環境只會載入由已授權軟體發行者數位簽署的韌體。同時安全開機還可提供比傳統 BitLocker 完整性檢查更多的彈性來管理開機前設定。

如果您啟用或未設定這個原則設定,BitLocker 會在平台可進行安全開機完整性驗證時,針對平台完整性使用安全開機。

如果您停用這個原則設定,即使在可進行安全開機完整性驗證的系統上,BitLocker 還是會使用傳統平台完整性驗證。

啟用這個原則且硬體可以在 BitLocker 案例使用安全開機時,會忽略 [使用增強的開機設定資料驗證設定檔] 群組原則設定,且安全開機會根據安全開機原則設定 (與 BitLocker 分開設定) 驗證 BCD 設定。

注意: 如果啟用 [設定原生 UEFI 韌體設定的 TPM 平台驗證設定檔] 群組原則設定且省略 PCR 7,Bitlocker 將無法使用平台的安全開機或開機設定資料 (BCD) 完整性驗證。

警告: 停用這個原則可能導致韌體更新時進行 BitLocker 修復。如果您停用這個原則,在套用韌體更新之前請先暫停 BitLocker。

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameOSAllowSecureBootForIntegrity
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

volumeencryption.admx

系統管理範本 (電腦)

系統管理範本 (使用者)