Configurar perfil de validação da plataforma TPM para configurações de firmware baseado em BIOS

Esta definição de política permite configurar a forma como o hardware de segurança de TPM (Trusted Platform Module) do computador protege a chave de encriptação BitLocker. Esta definição de política não é aplicável se o computador não tiver um TPM compatível ou se o BitLocker já estiver ativado com proteção TPM.

Importante: esta política de grupo só é aplicável a computadores com configurações BIOS ou a computadores com firmware UEFI com um módulo CSM (Compatibility Service Module) ativado. Os computadores que utilizam uma configuração de firmware UEFI nativo armazenam valores diferentes nos Registos de Configuração de Plataforma (PCR). Utilize a definição de política de grupo "Configurar perfil de validação da plataforma TPM para configurações de firmware UEFI nativo" para configurar o perfil PCR de TPM para computadores que utilizam firmware UEFI nativo.

Se ativar esta definição de política antes de ativar o BitLocker, poderá configurar os componentes de arranque que o TPM validará antes de desbloquear o acesso à unidade de sistema operativo encriptada por BitLocker. Se qualquer um destes componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não libertará a chave de encriptação para desbloquear a unidade e, em vez disso, o computador apresentará a consola Recuperação BitLocker e exigirá que seja fornecida a palavra-passe ou chave de recuperação para desbloquear a unidade.

Se desativar ou não configurar esta definição de política, o BitLocker utilizará o perfil de validação de plataforma predefinido ou o perfil de validação de plataforma especificado pelo script de configuração. O perfil de validação de plataforma consiste num conjunto de índices de Registo de Configuração de Plataforma (PCR), de 0 a 23. O perfil de validação de plataforma predefinido protege a chave de encriptação contra alterações no CRTM (Core Root of Trust of Measurement), BIOS e Extensões de Plataforma (PCR 0), no Código ROM de Opções (PCR 2), no Código do Registo de Arranque Principal (MBR) (PCR 4), no Setor de Arranque NTFS (PCR 8), no Bloco de Arranque NTFS (PCR 9), no Gestor de Arranque (PCR 10) e no Controlo de Acesso do BitLocker (PCR 11).

Aviso: efetuar alterações a partir do perfil de validação de plataforma predefinido afeta a segurança e a capacidade de gestão do computador. A sensibilidade do BitLocker a modificações de plataforma (maliciosas ou autorizadas) aumenta ou diminui dependendo da inclusão ou exclusão (respetivamente) dos PCRs.

Suportado em: Pelo menos o Windows Server 2012 ou o Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

O perfil de validação da plataforma consiste num conjunto de índices de Registo de Configuração de Plataforma (PCR). Cada índice de PCR está associado a componentes que são executados quando o Windows é iniciado.

Utilize as caixas de verificação abaixo para escolher os índices de PCR a incluir no perfil.

Tenha cuidado quando alterar esta definição.

Recomendamos a predefinição dos PCR 0, 2, 4, 8, 9, 10 e 11.

Para que a proteção BitLocker produza efeitos, tem de incluir PCR 11.

Consulte a documentação online, para mais informações sobre os benefícios e riscos de alterar o perfil de validação da plataforma TPM predefinida.

PCR 0: Core Root of Trust of Measurement (CRTM), BIOS e Extensões da Plataforma
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Dados e Configuração da Plataforma e da Placa Principal
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Código ROM de Opção
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Dados e Configuração de ROM de Opção
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Código do Registo de Arranque Principal (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Tabela de Partições do Registo de Arranque Principal (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Eventos de Reativação e Transição de Estado
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Específico do Fabricante do Computador
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Setor de Arranque NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: Bloco de Arranque NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Gestor de Arranque
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: Controlo de Acesso do BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reservado para Utilização Futura
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Modelos administrativos (computadores)

Modelos administrativos (utilizadores)