为基于 BIOS 的固件配置配置 TPM 平台验证配置文件

使用此策略设置,可以配置计算机的受信任平台模块(TPM)安全硬件如何保护 BitLocker 加密密钥。如果计算机没有兼容的 TPM 或者 BitLocker 已在 TPM 保护方式下打开,则此策略设置不适用。

重要信息: 此组策略仅适用于使用 BIOS 配置的计算机或具有启用了兼容性服务模块(CSM)的 UEFI 固件的计算机。 使用本地 UEFI 固件配置的计算机会将不同的值存储在平台配置注册表(PCR)中。 使用"为本地 UEFI 固件配置配置 TPM 平台验证配置文件"组策略设置可为使用本地 UEFI 固件的计算机配置 TPM PCR 配置文件。

如果在打开 BitLocker 之前启用此策略设置,则可以配置在对 BitLocker 加密操作系统驱动器的访问解除锁定之前 TPM 将验证的启动组件。如果在 BitLocker 保护起作用时更改了其中任何组件,则 TPM 将不会发放用于解除驱动器锁定的加密密钥,而计算机将显示 BitLocker 恢复控制台,并要求提供恢复密码或恢复密钥来解除驱动器锁定。

如果禁用或未配置此策略设置,则 BitLocker 将使用默认平台验证配置文件或由安装脚本指定的平台验证配置文件。平台验证配置文件由一组从 0 到 23 的平台配置注册表(PCR)索引组成。默认平台验证配置文件根据对可信度测量的核心根(CRTM)、BIOS 和平台扩展(PCR 0)、可选 ROM 代码(PCR 2)、主启动记录(MBR)代码(PCR 4)、NTFS 引导扇区(PCR 8)、NTFS 启动块(PCR 9)、启动管理器(PCR 10)以及 BitLocker 访问控制(PCR 11)的更改来保护加密密钥。

警告: 更改默认平台验证配置文件会影响计算机的安全性和可管理性。BitLocker 对平台修改(恶意或授权)的灵敏度会增加或减小,具体取决于包含还是排除(分别)PCR。

支持的平台: 至少 Windows Server 2012 或 Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

平台验证配置文件由一组平台配置注册表(PCR)索引组成。每个 PCR 索引都与 Windows 启动时运行的组件关联。

使用以下复选框选择要包含在配置文件中的 PCR 索引。

更改此设置时,请务必小心。

建议 PCR 的默认值为 0、2、4、8、9、10 和 11。

若要使 BitLocker 保护生效,则必须包括 PCR 11。

有关更改默认 TPM 平台验证配置文件的好处与风险的详细信息,请参阅联机文档。

PCR 0: 可信度管理的核心根(CRTM)、BIOS 和平台扩展
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: 平台和主板配置及数据
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: 可选 ROM 代码
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: 可选 ROM 配置和数据
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: 主启动记录(MBR)代码
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: 主启动记录(MBR)分区表
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: 状态转换和唤醒事件
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: 特定于制造商的计算机
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: NTFS 引导扇区
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: NTFS 启动块
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: 启动管理器
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: BitLocker 访问控制
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: 保留以供将来使用
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

管理模板(计算机)

管理模板(用户)