Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware UEFI nativo
Esta configuración de directiva le permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se activó con protección de TPM.
Importante: esta directiva de grupo solo se aplica a equipos con configuración de firmware UEFI nativo. Los equipos con firmware BIOS o UEFI con un módulo de servicio de compatibilidad (CSM) habilitado almacenan diferentes valores en los Registros de configuración de plataforma (PCR). Use la configuración de directiva de grupo "Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basado en BIOS" para configurar el perfil de PCR del TPM para equipos con configuraciones BIOS o equipos con firmware UEFI con CSM habilitado.
Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM validará antes de desbloquear el acceso a la unidad del sistema operativo cifrada con BitLocker. Si alguno de esos componentes cambia mientras la protección de BitLocker está activa, el TPM no proporcionará la clave de cifrado para desbloquear la unidad, y el equipo mostrará, en lugar de ello, la consola de recuperación de BitLocker y solicitará que se suministre la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
Si deshabilita o no establece esta configuración de directiva, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma que especifique el script de configuración. Un perfil de validación de plataforma consiste en un conjunto de índices de Registro de configuración de la plataforma (PCR) que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra cambios en el código ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o acoplable (PCR 2), el administrador de arranque (PCR 4) y el control de acceso a BitLocker (PCR 11).
Advertencia: el cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración de su equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionadas o no autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR. Específicamente, configurar esta directiva con omisión de PCR 7 invalidará la directiva de grupo "Permitir Arranque seguro para comprobar integridad", lo que impedirá que BitLocker use Arranque seguro para comprobar la validación de la plataforma o la integridad de los datos de configuración de arranque (BCD). Si esta directiva se establece, puede producirse una recuperación de BitLocker cuando el firmware se actualice. Si establece esta directiva de forma que incluya PCR 0, suspenda BitLocker antes de actualizar el firmware.
Compatible con: Al menos Windows Server 2012, Windows 8 o Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma). Cada índice de PCR se asocia a componentes que se ejecutan cuando se inicia Windows.
Use las casillas para elegir los índices de PCR que se deben incluir en el perfil.
Preste atención cuando cambie esta configuración.
Se recomienda el valor predeterminado de los PCR 0, 2, 4 y 11.
Para que la protección de BitLocker surta efecto, debe incluir el PCR 11.
Consulte la documentación para obtener más información acerca de las ventajas y riesgos de cambiar el perfil predeterminado de validación de plataforma del TPM.
PCR 0: Código ejecutable del firmware del sistema principal
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: Datos del firmware del sistema principal
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: Código ejecutable extendido o acoplable
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: Datos de firmware extendido o acoplable
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Administrador de arranque
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT / Tabla de particiones
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Reanudar a partir de eventos de estado de energía S4 y S5
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Estado de Arranque seguro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: Inicializado a 0 sin extensiones (reservado para uso futuro)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: Inicializado a 0 sin extensiones (reservado para uso futuro)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: Inicializado a 0 sin extensiones (reservado para uso futuro)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: Control de acceso de BitLocker
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: Eventos de datos y eventos muy volátiles
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: Detalles del módulo de arranque
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: Autoridades de arranque
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: Reservado para uso futuro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx