קביעת תצורה של פרופיל האימות של פלטפורמת TPM

הגדרת מדיניות זו מאפשרת לך לקבוע כיצד חומרת האבטחה של מודול הפלטפורמה המהימנה (TPM) של המחשב תאבטח את מפתח ההצפנה של BitLocker. הגדרת מדיניות זו לא תחול אם למחשב אין TPM תואם או אם BitLocker הופעל כבר באמצעות הגנת TPM.

אם תהפוך הגדרת מדיניות זו לזמינה לפני הפעלת BitLocker, תוכל לקבוע את תצורת רכיבי האתחול ש- TPM יוודא את חוקיותם לפני ביטול הנעילה של גישה לכונן מערכת ההפעלה המוצפן באמצעות BitLocker. אם אחד מהרכיבים הללו ישתנה כאשר הגנת BitLocker תקפה, ה- TPM לא ישחרר את מפתח ההצפנה כדי לבטל את נעילת הכונן, ובמקום זאת המחשב יציג את מסוף השחזור של BitLocker וידרוש שסיסמת השחזור או מפתח השחזור יסופקו כדי לבטל את נעילת הכונן.

אם תהפוך הגדרת מדיניות זו ללא זמינה או לא תקבע את תצורתה, ה- TPM ישתמש בפרופיל אימות הפלטפורמה שנקבע כברירת מחדל או בפרופיל אימות הפלטפורמה שצוין על-ידי קובץ ה- Script של ההתקנה. פרופיל אימות פלטפורמה מורכב ממערכת אינדקסים של רישום קביעת תצורה של פלטפורמה (PCR), של 0 עד 23; פרופיל אימות הפלטפורמה המהווה ברירת מחדל מגן על מפתח ההצפנה מפני שינויים ב- Core Root of Trust of Measurement (CRTM)‎, ב- BIOS, ב- Platform Extensions ‏(PCR 0), בקוד Option ROM ‏(PCR 2), בקוד של רשומת אתחול ראשית (MBR) ‏(PCR 4), בסקטור אתחול של NTFS ‏(PCR 8), בבלוק אתחול של NTFS ‏(PCR 9), במנהל האתחול (PCR 10) ובבקרת גישה של BitLocker ‏(PCR 11). התיאורים של הגדרות PCR עבור מחשבים אשר משתמשים בממשק קושחה מורחב (EFI) שונים מההגדרות של PCR שתוארו עבור מחשבים המשתמשים ב- BIOS רגיל. המדריך לפריסת הצפנת כונן של BitLocker ב- Microsoft TechNet כולל רשימה מלאה של הגדרות PCR, הן עבור EFI והן עבור BIOS רגיל.

אזהרה: שינוי פרופיל אימות הפלטפורמה שנקבע כברירת מחדל משפיע על האבטחה ועל יכולת הניהול של המחשב. הרגישות של BitLocker לשינויים בפלטפורמה (זדוניים או שאושרו) מוגברת או מופחתת בהתאם לכלילה או לאי-כלילה (בהתאמה) של ה- PCR.

נתמך ב: לפחות Windows Vista

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	Enabled
Value Type	REG_DWORD
Enabled Value	1
Disabled Value	0

פרופיל אימות פלטפורמה מורכב ממערכת אינדקסים של רישום קביעת תצורה של פלטפורמה (PCR). כל אינדקס של PCR משויך לרכיבים המופעלים בעת הפעלה של Windows.

השתמש בתיבות הסימון שלהלן כדי לבחור את האינדקסים של ה- PCR שייכללו בפרופיל.

היה זהיר בעת שינוי הגדרה זו.

אנו ממליצים על ברירת המחדל של PCR‏ 0‏, 2‏, 4‏, 5‏, 8‏, 9‏, 10 ו- 11.

כדי שהגנת BitLocker תיכנס לתוקף, עליך לכלול את PCR 11.

עיין בתיעוד המקוון לקבלת מידע נוסף על היתרונות והסיכונים של החלפת פרופיל אימות הפלטפורמה של TPM שנקבע כברירת מחדל.

PCR 0: Core Root of Trust of Measurement ‎(CRTM), ‏BIOS והרחבות פלטפורמה

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	0
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 1: תצורה ונתונים של פלטפורמה ולוח אם

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	1
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 2: קוד של אפשרות ROM

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	2
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 3: תצורה ונתונים של אפשרות ROM

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	3
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 4: קוד רשומת אתחול ראשית (MBR)

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	4
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 5: טבלת מחיצה של קוד רשומת אתחול ראשית (MBR)

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	5
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 6: אירועים של מעבר בין מצבים והתעוררות

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	6
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 7: תלויי יצרן המחשב

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	7
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 8: סקטור אתחול NTFS

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	8
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 9: בלוק אתחול NTFS

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	9
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 10: Boot Manager

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	10
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 11: בקרת גישה של BitLocker

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	11
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 12: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	12
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 13: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	13
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 14: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	14
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 15: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	15
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 16: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	16
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 17: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	17
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 18: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	18
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 19: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	19
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 20: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	20
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 21: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	21
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 22: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	22
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 23: שמור לשימוש עתידי

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name	23
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

volumeencryption.admx

קביעת תצורה של פרופיל האימות של פלטפורמת TPM

תבניות מנהליות (מחשבים)

תבניות מנהליות (משתמשים)