Ρύθμιση των παραμέτρων του προφίλ επικύρωσης πλατφόρμας TPM για ρυθμίσεις παραμέτρων υλικολογισμικού εγγενούς UEFI

Αυτή η ρύθμιση πολιτικής σάς επιτρέπει να ορίσετε τον τρόπο με τον οποίο το υλικό ασφαλείας Μονάδας αξιόπιστης πλατφόρμας (TPM) διασφαλίζει το κλειδί κρυπτογράφησης BitLocker. Αυτή η ρύθμιση πολιτικής δεν εφαρμόζεται αν ο υπολογιστής δεν διαθέτει συμβατή TPM ή αν το BitLocker έχει ήδη ενεργοποιηθεί με προστασία TPM.

Σημαντικό: Αυτή η πολιτική ομάδας εφαρμόζεται μόνο σε υπολογιστές με ρύθμιση παραμέτρων εγγενούς υλικολογισμικού UEFI. Οι υπολογιστές με υλικολογισμικό BIOS ή UEFI και με ενεργοποιημένη τη λειτουργική μονάδα υπηρεσίας συμβατότητας (CSM), αποθηκεύουν διαφορετικές τιμές στους καταχωρητές διαμόρφωσης πλατφόρμας (PCR). Χρησιμοποιήστε τη ρύθμιση πολιτικής ομάδας "Ρύθμιση των παραμέτρων του προφίλ επικύρωσης πλατφόρμας TPM για ρυθμίσεις παραμέτρων υλικολογισμικού που βασίζονται σε BIOS" για να ρυθμίσετε το προφίλ TPM PCR για υπολογιστές με ρυθμίσεις παραμέτρων BIOS ή για υπολογιστές με υλικολογισμικό UEFI και ενεργή CSM.

Εάν ενεργοποιήσετε αυτήν τη ρύθμιση πολιτικής πριν ενεργοποιηθεί το BitLocker, μπορείτε να ρυθμίσετε τις παραμέτρους των στοιχείων εκκίνησης που θα επαληθεύσει η TPM, πριν ξεκλειδωθεί η πρόσβαση στη μονάδα δίσκου λειτουργικού συστήματος με κρυπτογράφηση BitLocker. Αν κάποιο από αυτά τα στοιχεία αλλάξει ενώ η προστασία BitLocker είναι ενεργοποιημένη, η TPM δεν θα διαθέσει το κλειδί κρυπτογράφησης για να ξεκλειδωθεί η μονάδα δίσκου και ο υπολογιστής θα εμφανίσει την κονσόλα αποκατάστασης BitLocker και θα απαιτήσει την εισαγωγή του κωδικού αποκατάστασης ή του κλειδιού αποκατάστασης, για να ξεκλειδωθεί η μονάδα δίσκου.

Εάν απενεργοποιήσετε αυτήν τη ρύθμιση πολιτικής ή δεν ρυθμίσετε τις παραμέτρους της, το BitLocker θα χρησιμοποιήσει το προεπιλεγμένο προφίλ επικύρωσης πλατφόρμας ή το προφίλ επικύρωσης πλατφόρμας που ορίζεται από τη δέσμη ενεργειών εγκατάστασης. Ένα προφίλ επικύρωσης πλατφόρμας αποτελείται από ένα σύνολο ευρετηρίων καταχωρητών διαμόρφωσης πλατφόρμας (PCR) με εύρος από 0 έως 23. Το προεπιλεγμένο προφίλ επικύρωσης πλατφόρμας διασφαλίζει το κλειδί κρυπτογράφησης έναντι αλλαγών στον εκτελέσιμο κώδικα του υλικολογισμικού του συστήματος πυρήνα (PCR 0), στον εκτεταμένο εκτελέσιμο κώδικα ή στον εκτελέσιμο κώδικα με δυνατότητα σύνδεσης (PCR 2), στη Διαχείριση εκκίνησης (PCR 4) και στον έλεγχο πρόσβασης BitLocker (PCR 11).

Προειδοποίηση: Η αλλαγή του προεπιλεγμένου προφίλ επικύρωσης πλατφόρμας επηρεάζει την ασφάλεια και τη δυνατότητα διαχείρισης του υπολογιστή σας. Η ευαισθησία του BitLocker στις τροποποιήσεις πλατφόρμας (κακόβουλες ή με εξουσιοδότηση) αυξάνεται ή μειώνεται ανάλογα με την συμπερίληψη ή την εξαίρεση (αντίστοιχα) των PCR. Πιο συγκεκριμένα, ο ορισμός αυτής της πολιτικής χωρίς το PCR 7, θα παρακάμψει την πολιτική ομάδας "Να επιτρέπεται η ασφαλής εκκίνηση για την επικύρωση ακεραιότητας", εμποδίζοντας το BitLocker να χρησιμοποιήσει την ασφαλή εκκίνηση για την επικύρωση ακεραιότητας της πλατφόρμας ή των δεδομένων παραμέτρων εκκίνησης (BCD). Ο ορισμός αυτής της πολιτικής ενδέχεται να έχει ως αποτέλεσμα την αποκατάσταση του BitLocker κατά την ενημέρωση του υλικολογισμικού. Αν ρυθμίσετε αυτήν την πολιτική ώστε να περιλαμβάνει το PCR 0, θα πρέπει να αναστέλλετε τη λειτουργία του BitLocker πριν από την εγκατάσταση ενημερώσεων υλικολογισμικού.

Υποστηρίζεται σε: Τουλάχιστον Windows Server 2012, Windows 8 ή Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Ένα προφίλ επικύρωσης πλατφόρμας αποτελείται από ένα σύνολο από ευρετήρια καταχωρητών διαμόρφωσης πλατφόρμας (PCR). Κάθε ευρετήριο PCR συσχετίζεται με στοιχεία που εκτελούνται κατά την εκκίνηση των Windows.

Χρησιμοποιήστε τα πλαίσια ελέγχου παρακάτω, για να επιλέξετε τα ευρετήρια PCR που θα συμπεριλαμβάνονται στο προφίλ.

Προσέξτε ιδιαίτερα κατά την αλλαγή αυτής της ρύθμισης.

Συνιστάται η χρήση των προεπιλεγμένων ευρετηρίων PCR 0, 2, 4 και 11.

Προκειμένου να τεθεί σε ισχύ η προστασία BitLocker, πρέπει να συμπεριλάβετε το ευρετήριο PCR 11.

Συμβουλευτείτε την ηλεκτρονική τεκμηρίωση για περισσότερες πληροφορίες σχετικά με τα πλεονεκτήματα και τους κινδύνους της τροποποίησης του προεπιλεγμένου προφίλ επικύρωσης πλατφόρμας TPM.

PCR 0: Εκτελέσιμος κώδικας του υλικολογισμικού του συστήματος πυρήνα
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Δεδομένα του υλικολογισμικού του συστήματος πυρήνα
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Εκτεταμένος εκτελέσιμος κώδικας ή εκτελέσιμος κώδικας με δυνατότητα σύνδεσης
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Εκτεταμένα δεδομένα υλικολογισμικού ή δεδομένα υλικολογισμικού με δυνατότητα σύνδεσης
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Διαχείριση εκκίνησης
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Πίνακας GPT / Διαμερισμάτων
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Συνέχιση από τα συμβάντα κατάστασης ισχύος S4 και S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Κατάσταση ασφαλούς εκκίνησης
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Προετοιμασμένο στο 0 χωρίς επεκτάσεις (δεσμευμένο για μελλοντική χρήση)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Προετοιμασμένο στο 0 χωρίς επεκτάσεις (δεσμευμένο για μελλοντική χρήση)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Προετοιμασμένο στο 0 χωρίς επεκτάσεις (δεσμευμένο για μελλοντική χρήση)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: Έλεγχος πρόσβασης BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Συμβάντα δεδομένων και ιδιαίτερα ευμετάβλητα συμβάντα
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Λεπτομέρειες λειτουργικής μονάδας εκκίνησης
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Αρχές έκδοσης εκκίνησης
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Δεσμευμένο για μελλοντική χρήση
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Πρότυπα διαχείρισης (Υπολογιστές)

Πρότυπα διαχείρισης (Χρήστες)