Configureer validatieprofiel voor TPM platform voor systeemeigen UEFI configuraties van firmware
Met deze beleidsinstelling kunt u aangeven hoe de versleutelingssleutel van BitLocker wordt beveiligd door de TPM-beveiligingshardware (Trusted Platform Module) van de computer. Deze beleidsinstelling is niet van toepassing als de computer geen compatibele TPM heeft of als BitLocker al is ingeschakeld met TPM-beveiliging.
Belangrijk: dit groepsbeleid geldt alleen voor computers met een systeemeigen UEFI-firmwareconfiguratie. Computers met BIOS- of UEFI-firmware met een ingeschakelde Compatibility Service Module (CSM) bewaren andere waarden in de Platform Configuration Registers (PCR's). Gebruik de groepsbeleidsinstelling "Validatieprofiel configureren voor TPM-platform voor op BIOS gebaseerde firmwareconfiguraties" om het TPM PCR-profiel te configureren voor computers met een BIOS-configuratie of computers met UEFI-firmware met een ingeschakelde CSM.
Als u deze beleidsinstelling inschakelt voordat BitLocker wordt ingeschakeld, kunt u de opstartonderdelen configureren die door de TPM worden gevalideerd voordat er toegang wordt verleend tot het door BitLocker versleutelde systeemstation. Als zich wijzigingen voordoen in een of meer van deze onderdelen terwijl de BitLocker-beveiliging van kracht is, wordt de versleutelingssleutel voor het ontgrendelen van het station niet vrijgegeven door de TPM en wordt de herstelconsole van BitLocker weergegeven en moet het herstelwachtwoord of de hersleutel worden ingevoerd om toegang te krijgen tot het station.
Als u deze beleidsinstelling uitschakelt of niet configureert, gebruikt BitLocker het voor de beschikbare hardware of het profiel voor platformvalidatie dat is opgegeven in het installatiescript. Een profiel voor platformvalidatie bestaat uit een set PCR-indexen (Platform Configuration Register) van 0 tot 23.
Op pc's die Status beveiligd opstarten (PCR 7) niet ondersteunen, beveiligt het standaardprofiel voor platformvalidatie de versleutelingssleutel tegen wijzigingen aan uitvoerbare code voor de firmware van het kernsysteem (PCR 0), uitgebreide of pluggable uitvoerbare code (PCR 2), Boot Manager (PCR 4) en de toegangscode voor BitLocker (PCR 11).
Wanneer Status beveiligd opstarten (PCR7) wordt ondersteund, beveiligt het standaardprofiel voor platformvalidatie de versleutelingssleutel met behulp van Status beveiligd opstarten (PCR 7) en de toegangscode voor BitLocker (PCR 11).
Waarschuwing: als u een ander profiel voor platformvalidatie gebruikt dan het standaardprofiel, heeft dit gevolgen voor de beveiliging en het beheer van de computer. De gevoeligheid van BitLocker ten aanzien van platformaanpassingen (onbevoegd of bevoegd) neemt af of toe, afhankelijk van het uitsluiten of opnemen (respectievelijk) van de PCR's. Met name als de instelling van dit beleid met PCR 7 wordt weggelaten, wordt het groepsbeleid "Beveiligd opstarten voor integriteitsvalidatie toestaan" genegeerd, zodat wordt voorkomen dat BitLocker Beveiligd opstarten voor de integriteitsvalidatie van platform- en opstartconfiguratiegegevens (Boot Configuration Data, BCD) gebruikt. Het instellen van dit beleid kan leiden tot herstel door BitLocker wanneer de firmware wordt bijgewerkt. Als u dit beleid instelt om PCR 0 op te nemen, onderbreekt u BitLocker voordat u firmware-updates toepast.
Aanbevolen wordt om dit beleid niet te configureren, zodat Windows op basis van de beschikbare hardware op elke pc zelf het PCR-profiel kan selecteren dat voor de optimale combinatie van veiligheid en bruikbaarheid zorgt.
Ondersteund op: Minimaal Windows Server 2012, Windows 8 of Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Een profiel voor platformvalidatie bestaat uit een set PCR-indexen (Platform Configuration Register). Elke PCR-index wordt gekoppeld aan onderdelen die worden uitgevoerd tijdens het starten van Windows.
Gebruik de onderstaande selectievakjes om de PCR-indexen voor het profiel te kiezen.
Wees voorzichtig met het wijzigen van deze instelling.
We bevelen de standaard aan van PCR's 0, 2, 4, en 11.
Als u BitLocker-beveiliging wilt activeren, moet u PCR 11 in het profiel opnemen.
Raadpleeg de onlinedocumentatie voor meer informatie over de voordelen en risico's van het aanpassen van het standaardprofiel voor TPM-platformvalidatie.
PCR 0: uitvoerbare code voor firmware van kernsysteem
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: gegevens van firmware van kernsysteem
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: uitgebreide of pluggable uitvoerbare code
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: uitgebreide of pluggable firmwaregegevens
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: opstartbeheer
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT/partitietabel
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: hervatten van S4 en S5 energiestatusgebeurtenissen
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: status beveiligd opstarten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: geïnitialiseerd naar 0 met geen uitbreidingen (gereserveerd voor toekomstig gebruik)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: geïnitialiseerd naar 0 met geen uitbreidingen (gereserveerd voor toekomstig gebruik)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: geïnitialiseerd naar 0 met geen uitbreidingen (gereserveerd voor toekomstig gebruik)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker-toegangsbeheer
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: gegevensgebeurtenissen en erg vluchtige gebeurtenissen
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: details opstartmodule
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: opstartautoriteiten
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx