Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS
Ce paramètre de stratégie permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l'ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée ou si BitLocker est déjà activé par la protection du module de plateforme sécurisée.
Important : ce paramètre de stratégie de groupe s'applique uniquement aux ordinateurs avec configurations BIOS ou aux ordinateurs avec microprogramme UEFI et un module de service de compatibilité activé. Les ordinateurs utilisant une configuration de microprogramme UEFI native stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme UEFI natives » pour configurer le profil PCR du module de plateforme sécurisée pour les ordinateurs utilisant le microprogramme UEFI natif.
Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage que le module de plateforme sécurisée valide avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l'ordinateur affiche la console Récupération BitLocker et requiert que le mot de passe ou la clé de récupération soit fourni pour déverrouiller le lecteur.
DIASBLE, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation. Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR), compris entre 0 et 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées au CTRM (Core Root of Trust of Measurement), au BIOS, aux extensions de plateforme (PCR 0), au code de ROM en option (PCR 2), au code de l'enregistrement de démarrage principal (PCR 4), au secteur de démarrage NTFS (PCR 8), au bloc de démarrage NTFS (PCR 9), au gestionnaire de démarrage (PCR 10) et au contrôle d'accès BitLocker (PCR 11).
Avertissement : la modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (autorisées ou malveillantes) augmente ou diminue en fonction de l'inclusion ou de l'exclusion (respectivement) des registres de configuration de plateforme.
Pris en charge sur : Au minimum Windows 8
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s'exécutent au démarrage de Windows.
Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil.
Soyez prudent en modifiant ce paramétrage.
Nous recommandons les PCR par défaut : 0, 2, 4, 8, 9, 10 et 11.
Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11.
Consultez la documentation en ligne pour plus d'informations sur les avantages et les risques de modifier le profil de validation de plateforme du module de plateforme sécurisée.
PCR 0 : CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1 : Configuration et données de plateforme et de carte mère
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2 : Code de ROM en option
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3 : Configuration et données de ROM en option
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4 : Code d'enregistrement de démarrage principal (MBR)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5 : Table de partition d'enregistrement de démarrage principal (MBR)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6 : Événements de transition d'état et de sortie de veille
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7 : Spécificité du fabricant de l'ordinateur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8 : Secteur d'amorçage NTFS
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 9 : Bloc d'amorçage NTFS
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 10 : Gestionnaire de démarrage
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 11 : Contrôle d'accès BitLocker
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23 : Réservé pour un usage futur
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx