Määritä TPM-käyttöympäristön vahvistusprofiili (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Tämän käytäntöasetuksen avulla voit määrittää, miten tietokoneen TPM (Trusted Platform Module) -suojauslaitteisto suojaa BitLocker-salausavaimen. Tämä käytäntöasetus ei ole voimassa, jos tietokoneessa ei ole yhteensopivaa TPM-suojauslaitteistoa tai jos BitLocker ja TPM-suojaus on jo otettu käyttöön.
Jos otat tämän käytäntöasetuksen käyttöön ennen BitLockerin ottamista käyttöön, voit määrittää käynnistysosat, jotka TPM tarkistaa, ennen kuin se poistaa BitLocker-salatun käyttöjärjestelmäaseman käytön lukituksen. Jos jokin näistä komponenteista muuttuu BitLocker-suojauksen ollessa käytössä, TPM ei vapauta salausavainta aseman lukituksen poistamista varten, ja tietokone näyttää sen sijaan BitLocker-palautuskonsolin ja vaatii, että aseman lukituksen poistamista varten annetaan palautussalasana tai palautusavain.
Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, TPM käyttää ympäristön oletusvahvistusprofiilia tai asennuskomentosarjan määrittämää ympäristön vahvistusprofiilia. Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä välillä 0 - 23, ja ympäristön oletusvahvistusprofiili suojaa salausavaimen seuraavien kohteiden muutoksilta: CRTM (Core Root of Trust of Measurement), BIOS, ympäristön laajennukset (PCR 0), valinnainen ROM-koodi (PCR 2), pääkäynnistystietueen (MBR) koodi (PCR 4), NTFS-käynnistyssektori (PCR 8), NTFS-käynnistyslohko (PCR 9), käynnistyksen hallintaohjelma (PCR 10) ja BitLocker-käytönvalvonta (PCR 11). EFI (Extensible Firmware Interface) -liittymää käyttävien tietokoneiden PCR-asetusten kuvaukset eivät ole samat kuin vakio-BIOSia käyttävien tietokoneiden kuvatut PCR-asetukset.
Varoitus: Ympäristön oletusvahvistusprofiilin muuttaminen vaikuttaa tietokoneen suojaukseen ja hallittavuuteen. BitLockerin herkkyys havaita ympäristön muokkaaminen (luvaton tai valtuutettu) tehostuu tai heikkenee PCR-indeksien lisäämisen tai pois jättämisen myötä.
Tuettu: Windows Server 2008, Windows 7 ja Windows Vista
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Ympäristön vahvistusprofiili muodostuu joukosta PCR (Platform Configuration Register) -indeksejä. Kuhunkin PCR-indeksiin liittyy osia, jotka suoritetaan, kun Windows käynnistyy.
Valitse profiiliin sisällytettävät PCR-indeksit alla olevien valintaruutujen avulla.
Ole varovainen muuttaessasi tätä asetusta.
Suosittelemme PCR-oletusmäärityksiä 0, 2, 4, 8, 9, 10 ja 11.
BitLocker-suojauksen toimiminen edellyttää PCR 11 -määritystä.
Lue online-ohjeista lisätietoja oletusarvon mukaisen TPM-turvapiirin ympäristön vahvistusprofiilin muuttamisen eduista ja riskeistä.
PCR 0: CRTM (Core Root of Trust of Measurement), BIOS ja käyttöympäristön laajennukset
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: Käyttöympäristön ja emolevyn määritys ja tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: Valinnainen ROM-koodi
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: Valinnainen ROM-määritys ja -tiedot
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Pääkäynnistystietueen (MBR) koodi
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: Pääkäynnistystietueen (MBR) osiotaulukko
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Tilasiirtymä- ja herätystapahtumat
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Tietokonevalmistajakohtainen
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: NTFS-käynnistyssektori
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 9: NTFS-käynnistyslohko
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 10: Käynnistyksen hallintaohjelma
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker-käytönvalvonta
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: varattu tulevaa käyttöä varten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx