Configurar perfil de validação da plataforma TPM para configurações de firmware UEFI nativo

Esta definição de política permite-lhe configurar a forma como o hardware de segurança Trusted Platform Module (TPM) do computador protege a chave de encriptação do BitLocker. Esta definição de política não se aplica se o computador não possuir um TPM compatível ou se o BitLocker já tiver sido ativado com proteção TPM.

Importante: Esta política de grupo só se aplica a computadores com uma configuração de firmware UEFI nativo. Os computadores com firmware BIOS ou UEFI que possuem um Módulo de Serviço de Compatibilidade (CSM) ativado armazenam valores diferentes nos Registos de Configuração de Plataforma (PCR). Utilize a definição de política de grupo "Configurar perfil de validação da plataforma TPM para configurações de firmware baseado em BIOS" para configurar o perfil TPM PCR para computadores com configurações de BIOS ou computadores com firmware UEFI com um CSM ativado.

Se ativar esta definição de política antes de ativar o BitLocker, pode configurar os componentes de arranque que o TPM irá validar antes de desbloquear o acesso à unidade do sistema operativo encriptada por BitLocker. Se algum destes componentes for alterado enquanto a proteção BitLocker estiver ativada, o TPM não libertará a chave de encriptação para desbloquear a unidade e o computador irá, em vez disso, apresentar a consola de recuperação BitLocker e exigirá a introdução da palavra-passe de recuperação ou da chave de recuperação para desbloquear a unidade.

Se desativar ou não configurar esta definição de política, o BitLocker utilizará o perfil de validação de plataforma predefinido para o hardware disponível ou o perfil de validação de plataforma especificado pelo script de configuração. O perfil de validação de plataforma é composto por um conjunto de índices de Registos de Configuração de Plataforma (PCR) com um intervalo de 0 a 23.

Em PCs que não têm suporte de Estado de Arranque Seguro (PCR 7), o perfil de validação da plataforma predefinido protege a chave de encriptação de alterações ao código executável de firmware do sistema principal (PCR 0), código executável expandido ou incorporável (PCR 2), gestor de arranque (PCR 4) e controlo de acesso do BitLocker (PCR 11).

Quando está disponível suporte de Estado de Arranque Seguro (PCR7), o perfil de validação da plataforma predefinido protege a chave de encriptação utilizando o Estado de Arranque Seguro (PCR 7) e o controlo de acesso do BitLocker (PCR 11).

Aviso: A alteração do perfil de validação da plataforma predefinido afeta a segurança e a capacidade de gestão do computador. A sensibilidade do BitLocker a modificações de plataforma (maliciosas ou autorizadas) aumenta ou diminui conforme a inclusão ou exclusão (respetivamente) de PCRs. Mais concretamente, a definição desta política com o PCR 7 omitido substituirá a política de grupo "Permitir Arranque Seguro para validação de integridade", impedindo que o BitLocker utilize o Arranque Seguro de plataforma ou a validação de integridade de Dados de Configuração de Arranque (BCD). A definição desta política pode resultar na recuperação do BitLocker quando o firmware for atualizado. Se definir esta política para incluir o PCR 0, suspenda o BitLocker antes de aplicar as atualizações de firmware.

Recomenda-se que esta política não seja configurada, para permitir que o Windows selecione o perfil PCR que proporcione a melhor combinação de segurança e usabilidade com base no hardware disponível em cada PC.

Suportado em: Pelo menos, Windows Server 2012, Windows 8 ou Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

O perfil de validação da plataforma consiste num conjunto de índices de Registo de Configuração de Plataforma (PCR). Cada índice de PCR está associado a componentes que são executados quando o Windows é iniciado.

Utilize as caixas de verificação abaixo para escolher os índices de PCR a incluir no perfil.

Tenha cuidado quando alterar esta definição.

Recomendamos a predefinição dos PCR 0, 2, 4 e 11.

Para que a proteção BitLocker produza efeitos, tem de incluir PCR 11.

Consulte a documentação online, para mais informações sobre os benefícios e riscos de alterar o perfil de validação da plataforma TPM predefinida.

PCR 0: código executável de Firmware do Sistema Principal
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: dados de Firmware do Sistema Principal
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: código executável expandido ou incorporável
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: dados de firmware expandido ou incorporável
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Gestor de Arranque
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/Tabela de Partições
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Retomar a partir de Eventos de Estado de Energia S4 e S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Estado do Arranque Seguro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Inicializado como 0 sem Expansões (reservado para utilização futura)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Inicializado como 0 sem Expansões (reservado para utilização futura)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Inicializado como 0 sem Expansões (reservado para utilização futura)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: Controlo de Acesso do BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Eventos de dados e eventos de volatilidade elevada
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Detalhes do Módulo de Arranque
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Autoridades de Arranque
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Modelos administrativos (computadores)

Modelos administrativos (utilizadores)