Configureer validatieprofiel voor TPM platform voor op BIOS gebaseerde configuraties van firmware
Met deze beleidsinstelling kunt u aangeven hoe de versleutelingssleutel van BitLocker wordt beveiligd door de TPM-beveiligingshardware (Trusted Platform Module) van de computer. Deze beleidsinstelling is niet van toepassing als de computer geen compatibele TPM heeft of als BitLocker al is ingeschakeld met TPM-beveiliging.
Belangrijk: dit groepsbeleid geldt alleen voor computers met BIOS-configuraties of op computers met UEFI-firmware met een ingeschakelde Compatibility Service Module (CSM). Computers met een systeemeigen configuratie voor UEFI-firmware bewaren andere waarden in de Platform Configuration Registers (PCR's). Gebruik de groepsbeleidinstelling "Profiel configureren voor TPM-platformvalidatie voor systeemeigen UEFI firmware configuraties" om het TPM PCR-profiel voor computers met systeemeigen UEFI firmware te configureren.
Als u deze beleidsinstelling inschakelt voordat BitLocker wordt ingeschakeld, kunt u de opstartonderdelen configureren die door de TPM worden gevalideerd voordat er toegang wordt verleend tot het door BitLocker versleutelde systeemstation. Als zich wijzigingen voordoen in een of meer van deze onderdelen terwijl de BitLocker-beveiliging van kracht is, wordt de versleutelingssleutel voor het ontgrendelen van het station niet vrijgegeven en wordt de herstelconsole van BitLocker weergegeven en moet het herstelwachtwoord of de hersleutel worden ingevoerd om toegang te krijgen tot het station.
Als u deze beleidsinstelling uitschakelt of niet configureert, gebruikt BitLocker het standaardprofiel voor platformvalidatie of het profiel voor platformvalidatie dat is opgegeven in het installatiescript. Een validatieprofiel voor een platform bestaat uit een set Platform Configuration Register (PCR) indices van 0 tot23. Het standaardprofiel voor platformvalidatie beveiligt de versleutelingssleutel tegen wijzigingen van de CRTM (Core Root of Trust of Measurement), het BIOS en platformuitbreidingen (PCR 0), de code voor optie-ROM (PCR 2), de MBR-code (Master Boot Record) (PCR 4), de NTFS-opstartsector (PCR 8), het NTFS-opstartblok (PCR 9), Boot Manager (PCR 10) en BitLocker-toegangsbeheer (PCR 11).
Waarschuwing: als u een ander profiel voor platformvalidatie gebruikt dan het standaardprofiel, heeft dit gevolgen voor de beveiliging en het beheer van de computer. De gevoeligheid van BitLocker ten aanzien van platformaanpassingen (onbevoegd of bevoegd) neemt af of toe, afhankelijk van het uitsluiten of opnemen (respectievelijk) van de PCR's.
Ondersteund op: Minimaal Windows Server 2012 of Windows 8
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Een profiel voor platformvalidatie bestaat uit een set PCR-indexen (Platform Configuration Register). Elke PCR-index wordt gekoppeld aan onderdelen die worden uitgevoerd tijdens het starten van Windows.
Gebruik de onderstaande selectievakjes om de PCR-indexen voor het profiel te kiezen.
Wees voorzichtig met het wijzigen van deze instelling.
We bevelen de standaard aan van PCR's 0, 2, 4, 8, 9, 10, en 11.
Als u BitLocker-beveiliging wilt activeren, moet u PCR 11 in het profiel opnemen.
Raadpleeg de onlinedocumentatie voor meer informatie over de voordelen en risico's van het aanpassen van het standaardprofiel voor TPM-platformvalidatie.
PCR 0: CRTM- (Core Root of Trust of Measurement), BIOS- en platformuitbreidingen
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: configuratie en gegevens voor platform en systeemkaart
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: code voor Optie-ROM
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: configuratie en gegevens voor Optie-ROM
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: MBR-code (Master Boot Record)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: MBR-partitietabel (Master Boot Record)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: gebeurtenissen met betrekking tot statusovergangen en wekken
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: specifiek voor computerfabrikant
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: NTFS-opstartsector
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 9: NTFS-opstartblok
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 10: Boot Manager
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 11: BitLocker-toegangsbeheer
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: gereserveerd voor toekomstig gebruik
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx