为本地 UEFI 固件配置配置 TPM 平台验证配置文件

使用此策略设置,可以配置计算机的受信任的平台模块(TPM)安全硬件如何保护 BitLocker 加密密钥。如果计算机没有兼容的 TPM 或者 BitLocker 已在 TPM 保护方式下打开,则此策略设置不适用。

重要信息: 此组策略仅适用于采用本地 UEFI 固件配置的计算机。具备启用兼容性服务模块(CSM)的 BIOS 或 UEFI 固件的计算机会将不同的值存储在平台配置注册表(PCR)中。使用"为基于 BIOS 的固件配置配置 TPM 平台验证配置文件"组策略设置可为使用 BIOS 配置的计算机或具备启用 CSM 的 UEFI 固件的计算机配置 TPM PCR 配置文件。

如果在打开 BitLocker 之前启用此策略设置,则可以配置 TPM 在对 BitLocker 加密操作系统驱动器的访问解除锁定之前进行验证的引导组件。如果在 BitLocker 保护起作用时更改了其中任何组件,则 TPM 将不会发放用于解除驱动器锁定的加密密钥,而计算机将显示 BitLocker 恢复控制台,并要求提供恢复密码或恢复密钥来解除驱动器锁定。

如果禁用或未配置此策略设置,则 BitLocker 将使用可用硬件的默认平台验证配置文件或由安装脚本指定的平台验证配置文件。平台验证配置文件由一组从 0 到 23 的平台配置注册表(PCR)索引组成。

在缺少安全引导状态(PCR 7)支持的电脑上,默认平台验证配置文件根据对核心系统固件可执行代码(PCR 0)、扩展或可插入可执行代码(PCR 2)、引导管理器(PCR 4)以及 BitLocker 访问控制(PCR 11)的更改来保护加密密钥。

当安全引导状态(PCR7)支持可用时,默认平台验证配置文件使用安全引导状态(PCR 7)和 BitLocker 访问控制(PCR 11)来保护加密密钥。

警告: 更改默认平台验证配置文件会影响计算机的安全性和可管理性。BitLocker 对平台修改(恶意或授权)的灵敏度会增加或减小,具体取决于(分别)包含还是排除 PCR。具体而言,在设置此策略时省略 PCR 7 将覆盖"允许对完整性验证使用安全引导"组策略,这将阻止 BitLocker 将安全引导用于平台或引导配置数据(BCD)完整性验证。设置此策略可能会导致在更新固件时恢复 BitLocker。如果将此策略设置为包括 PCR 0,将在应用固件更新之前挂起 BitLocker。

建议不配置此策略,以允许 Windows 根据每台电脑上的可用硬件选择 PCR 配置,从而获得最佳的安全性和可用性。

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

平台验证配置文件由一组平台配置注册表(PCR)索引组成。每个 PCR 索引都与 Windows 启动时运行的组件关联。

使用以下复选框选择要包含在配置文件中的 PCR 索引。

更改此设置时,请务必小心。

建议 PCR 的默认值为 0、2、4 和 11。

若要使 BitLocker 保护生效,则必须包括 PCR 11。

有关更改默认 TPM 平台验证配置文件的好处与风险的详细信息,请参阅联机文档。

PCR 0: 核心系统固件可执行代码
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: 核心系统固件数据
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: 扩展或可插入可执行代码
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: 扩展或可插入固件数据
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: 启动管理器
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/分区表
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: 从 S4 和 S5 电源状态事件恢复
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: 安全引导状态
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: 已初始化为 0,无扩展(保留以供将来使用)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: 已初始化为 0,无扩展(保留以供将来使用)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: 已初始化为 0,无扩展(保留以供将来使用)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: BitLocker 访问控制
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: 数据事件和高度易变的事件
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: 引导模块详细信息
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: 引导引文
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

管理模板(计算机)

管理模板(用户)