設定 BIOS 韌體設定的 TPM 平台驗證設定檔

這個原則設定可讓您設定電腦的信賴平台模組 (TPM) 安全性硬體保護 BitLocker 加密金鑰的方式。如果電腦不含相容的 TPM，或是已開啟具有 TPM 保護的 BitLocker，則這個原則設定不適用。

重要事項: 這個群組原則僅適用於含有 BIOS 設定的電腦，或含有啟用相容性服務模組 (CSM) 之UEFI 韌體的電腦。 使用原生 UEFI 韌體設定的電腦會在平台設定暫存器 (PCR) 儲存不同的值。 使用「設定原生 UEFI 韌體設定的 TPM 平台驗證設定檔」群組原則設定，為使用原生 UEFI 韌體的電腦設定 TPM PCR 設定檔。

如果在開啟 BitLocker 前啟用這個原則設定，您可以設定 TPM 在解除鎖定對 BitLocker 加密作業系統磁碟機的存取之前所驗證的開機元件。如果在 BitLocker 保護有效的狀態下，對其中任一元件進行變更，TPM 將不會釋出解除鎖定磁碟機的加密金鑰，而是電腦將顯示 BitLocker 修復主控台，並要求提供修復密碼或修復金鑰，以解除鎖定磁碟機。

如果您停用或未設定這個原則設定，BitLocker 會使用預設的平台驗證設定檔或安裝指令碼所指定的平台驗證設定檔。平台驗證設定檔由一組平台設定暫存器 (PCR) 索引組成，範圍從 0 到 23。預設的平台驗證設定檔可保護加密金鑰，防止變更 Core Root of Trust of Measurement (CRTM)、BIOS 及 Platform Extensions (PCR 0)、Option ROM 碼 (PCR 2)、主開機記錄 (MBR) 碼 (PCR 4)、NTFS 開機磁區 (PCR 8)、NTFS 啟動區 (PCR 9)、開機管理程式 (PCR 10)，以及 BitLocker 存取控制 (PCR 11)。

警告: 對預設平台驗證設定檔進行變更將會影響電腦的安全性及管理性。BitLocker 對 (惡意或授權的) 平台修改敏感度的增加或減少，須視其包含或排除 (分別) 的 PCR 項目而定。

平台驗證設定檔由一組平台設定暫存器 (PCR) 索引組成。每個 PCR 索引與 Windows 啟動時執行的元件相關聯。

使用下列核取方塊選擇要包括在設定檔中的 PCR 索引。

變更此設定時請務必小心謹慎。

建議使用預設的 PCR 0、2、4、8、9、10 及 11。

若要讓 BitLocker 保護生效，必須包含 PCR 11。

如需有關變更預設 TPM 平台驗證設定檔之優點和風險的詳細資訊，請參閱線上文件。

PCR 0:Core Root of Trust of Measurement (CRTM)、BIOS 及 Platform Extensions

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	0
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 1:平台及主機板設定及資料

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	1
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 2:Option ROM 碼

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	2
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 3:Option ROM 設定及資料

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	3
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 4:主開機記錄 (MBR) 碼

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	4
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 5:主開機記錄 (MBR) 磁碟分割表格

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	5
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 6:狀態轉換及喚醒事件

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	6
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 7:電腦製造商特有的

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	7
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 8:NTFS 開機磁區

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	8
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 9:NTFS 啟動區

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	9
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 10:開機管理程式

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	10
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 11: BitLocker 存取控制

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	11
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

PCR 12: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	12
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 13: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	13
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 14: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	14
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 15: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	15
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 16: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	16
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 17: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	17
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 18: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	18
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 19: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	19
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 20: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	20
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 21: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	21
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 22: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	22
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

PCR 23: 保留供以後使用

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name	23
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0