Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для конфигурации встроенного ПО на базе BIOS

Этот параметр политики позволяет указать, как оборудование безопасности доверенного платформенного модуля компьютера обеспечивает безопасность ключа шифрования BitLocker. Этот параметр политики неприменим, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.

Внимание! Эта групповая политика применима только к компьютерам с конфигурацией BIOS или встроенным ПО UEFI с включенным модулем службы совместимости (CSM). Компьютеры с основной конфигурацией встроенного ПО UEFI сохраняют другие значения в регистрах конфигурации платформы. Используйте параметр групповой политики «Настройка профиля проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI», чтобы настроить профиль регистра конфигурации платформы доверенного платформенного модуля на компьютерах с основным встроенным ПО UEFI.

Если вы включили этот параметр политики до включения BitLocker, вы можете настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед разблокировкой доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования диска, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием предоставить ключ восстановления или пароль восстановления для разблокировки диска.

Если вы отключите или не настроите этот параметр политики, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы в диапазоне от 0 до 23. Профиль проверки платформы, используемый по умолчанию, защищает ключ шифрования от изменения базового доверенного источника оценки (CRTM), BIOS, расширений платформы (PCR 0), кода дополнительного ПЗУ (PCR 2), кода основной загрузочной записи (MBR) (PCR 4), загрузочного сектора NTFS (PCR 8), блока загрузки NTFS (PCR 9), диспетчера загрузки (PCR 10) и управления доступом BitLocker (PCR 11).

Внимание! Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы.

Поддерживается: Windows 8 и выше

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Профиль проверки платформы состоит из набора индексов PCR (регистр конфигурации платформы). Каждый индекс PCR связан с компонентами, запускаемыми при запуске Windows.

Используйте флажки ниже для выбора индексов PCR, включаемых в профиль.

Соблюдайте осторожность при изменении этого параметра.

Рекомендуется по умолчанию использовать PCR 0, 2, 4, 8, 9, 10 и 11.

Чтобы защита BitLocker вступила в силу, необходимо включить PCR 11.

Дополнительные сведения о преимуществах и рисках изменения профиля проверки платформы TPM по умолчанию см. в документации в Интернете.

PCR 0: Базовый доверенный источник оценки (CRTM), BIOS и расширения платформы
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Данные и конфигурация системной платы и платформы
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Код дополнительного ПЗУ
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Конфигурация и данные дополнительного ПЗУ
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Код основной загрузочной записи (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Таблица разделов основной загрузочной записи (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: События смены состояний и пробуждения
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Задается производителем компьютера
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Загрузочный сектор NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: Загрузочный блок NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Диспетчер загрузки
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: Управление доступом BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)