BIOS tabanlı bellenim yapılandırmaları için TPM platformu doğrulaması profilini yapılandır

Bu ilke ayarı, bilgisayarın Güvenilir Platform Modülü (TPM) güvenlik donanımının BitLocker şifreleme anahtarını nasıl koruyacağını yapılandırmanızı sağlar. Bilgisayarda uyumlu bir TPM yoksa veya TPM korumasıyla BitLocker zaten açılmışsa bu ilke ayarı geçerli değildir.

Önemli: Bu grup ilkesi yalnızca BIOS yapılandırmasına veya UEFI bellenimine sahip, Uyumluluk Hizmet Modülü (CSM) etkin olan bilgisayarlara uygulanır. Yerel UEFI bellenim yapılandırması kullanan bilgisayarlar Platform Yapılandırma Yazmaçlarında (PCR) farklı değerler depolar. Yerel UEFI bellenimi kullanan bilgisayarlar için TPM PCR profili yapılandırmak amacıyla "Yerel UEFI bellenim yapılandırmaları için TPM platform doğrulama profilini yapılandır" grup ilkesi ayarını kullanın.

BitLocker'ı açmadan önce bu ilke ayarını etkinleştirirseniz TPM'nin BitLocker ile şifrelenmiş işletim sistemi sürücüsüne erişim kilidini kaldırmadan önce doğrulayacağı önyükleme bileşenlerini yapılandırabilirsiniz. BitLocker koruması etkinken bu bileşenlerden biri değişirse, TPM, sürücünün kilidini açmak için şifreleme anahtarını bırakmayacak, bunun yerine bilgisayar, BitLocker Recovery konsolunu gösterecek ve sürücünün kilidini açmak için sunulan kurtarma parolasını ya da kurtarma anahtarını isteyecektir.

Bu ilke ayarını devre dışı bırakırsanız ya da yapılandırmazsanız BitLocker varsayılan platform doğrulama profilini veya komut dosyası tarafından belirtilen platform doğrulama profilini kullanır. Bir platform doğrulama profili 0 ile 23 arasında değişen bir dizi Platform Yapılandırma Kaydı (PCR) dizininden oluşur. Varsayılan platform doğrulama profili, şifreleme anahtarının Ölçüm Güveninin Çekirdek Kökü (CRTM), BIOS ve Platform Uzantıları (PCR 0), Seçenek ROM Kodu (PCR 2), Ana Yükleme Kaydı (MBR) Kodu (PCR 4), NTFS Önyükleme Kesimi (PCR 8), NTFS Önyükleme Bloğu (PCR 9), Önyükleme Yöneticisi (PCR 10) ve BitLocker Erişim Denetimi (PCR 11) öğelerinde yapılan değişikliklere karşı güvenliğini sağlar.

Uyarı: Varsayılan profilden başka bir profili kullanmak, bilgisayarınızın güvenliğini ve yönetilebilirliğini etkiler. BitLocker'ın platform değişikliklerine (kötü amaçlı veya yetkili) duyarlılığı, PCR'lerin dahil edilmesine veya dışlanmasına bağlı olarak atar veya azalır.

Destek yeri: En az Windows Server 2012 veya Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Bir platform doğrulama profili bir grup Platform Yapılandırma Kayıt Defteri (PCR) dizininden oluşur. Her PCR dizini, Windows başladığında çalışan bileşenler ile ilişkilendirilir.

Profile katılacak PCR dizinlerini seçmek için aşağıdaki onay kutularını kullanın.

Bu ayarı değiştirirken dikkatli olun.

PCR'lerin varsayılan değerleri olan 0, 2, 4, 8, 9, 10 ve 11'i öneririz.

Her iki zamanlama seçeneğinde sunucuyu aynı anda yapılan karşı yüklemeler ile aşırı yüklemekten kaçınmak için tetik başına rastgele bir saatlik bir gecikme vardır.

TPM platformu doğrulama profilini değiştirmenin getirileri ve tehlikeleri hakkında daha fazla bilgi için çevrimiçi belgelere bakın.

PCR 0: Ölçüm Güveninin Çekirdek Kökü (CRTM), BIOS ve Platform Uzantıları
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Platform ve Anakart Yapılandırması ve Verisi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: ROM Kodu Seçeneği
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: ROM Yapılandırması ve Verisi Seçeneği
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Ana Yükleme Kaydı (MBR) Kodu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: PCR 5: Ana Yükleme Kaydı (MBR) Kodu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Durum Geçişi ve Uyanma Olayları
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Bilgisayar Üreticisi-Belirli
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: NTFS Önyükleme Kesimi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: NTFS Önyükleme Bloğu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Önyükleme Yöneticisi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: BitLocker Erişim Denetimi
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Gelecekte Kullanılmak üzere Ayrılmış
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Yönetim Şablonları (Bilgisayarlar)

Yönetim Şablonları (Kullanıcılar)