Konfiguruj profil weryfikacji platformy modułu TPM dla konfiguracji natywnego oprogramowania układowego UEFI

To ustawienie zasad umożliwia skonfigurowanie sposobu zabezpieczenia klucza szyfrowania funkcji BitLocker przez zabezpieczenia sprzętowe modułu TPM. To ustawienie zasad nie jest stosowane, gdy komputer nie ma zgodnego modułu TPM ani gdy funkcja BitLocker została już włączona z ochroną za pomocą modułu TPM.

Ważne: te zasady grupy dotyczą tylko komputerów z konfiguracją natywnego oprogramowania układowego UEFI. Komputery z oprogramowaniem układowym opartym na systemie BIOS lub z oprogramowaniem układowym UEFI, na których włączono moduł CSM, przechowują różne wartości w rejestrach konfiguracji platformy (PCR). Do skonfigurowania profilu PCR modułu TPM komputerów z konfiguracjami systemu BIOS lub komputerów z oprogramowaniem układowym UEFI i włączonym modułem CSM należy użyć ustawienia zasad grupy „Konfiguruj profil weryfikacji platformy modułu TPM dla konfiguracji oprogramowania układowego opartego na systemie BIOS".

Jeśli to ustawienie zasad zostanie włączone przed włączeniem funkcji BitLocker, będzie można skonfigurować składniki rozruchowe, które będą weryfikowane przez moduł TPM przed odblokowaniem dostępu do dysku systemu operacyjnego szyfrowanego funkcją BitLocker. Jeśli w czasie działania ochrony funkcją BitLocker dowolne z tych składników ulegną zmianie, moduł TPM nie zwolni klucza szyfrowania w celu odblokowania dysku, a komputer wyświetli konsolę odzyskiwania funkcji BitLocker i będzie wymagał podania hasła lub klucza odzyskiwania, aby odblokować dysk.

Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, funkcja BitLocker będzie używać domyślnego profilu weryfikacji platformy lub profilu weryfikacji platformy określonego w skrypcie konfiguracyjnym. Profil weryfikacji platformy składa się z zestawu indeksów rejestru konfiguracji platformy (PCR), które przyjmują wartości od 0 do 23. Domyślny profil weryfikacji platformy zabezpiecza klucz szyfrowania przed zmianami w kodzie wykonywalnym głównego oprogramowania układowego systemu (PCR 0), rozszerzonym lub podłączanym kodzie wykonywalnym (PCR 2), menedżerze rozruchu (PCR 4) i kontroli dostępu za pomocą funkcji BitLocker (PCR 11).

Ostrzeżenie: zmiana domyślnego profilu weryfikacji platformy wpływa na zabezpieczenia komputera i możliwości zarządzania nim. Wrażliwość funkcji BitLocker na modyfikacje platformy (złośliwe lub autoryzowane) jest większa lub mniejsza w zależności od włączenia lub wykluczenia (odpowiednio) indeksów PCR. W szczególności skonfigurowanie tych zasad z pominięciem indeksu PCR 7 spowoduje zastąpienie zasad grupy „Zezwalaj na bezpieczny rozruch w celu zweryfikowania integralności", co uniemożliwi funkcji BitLocker korzystanie z bezpiecznego rozruchu w celu zweryfikowania integralności platformy lub danych konfiguracji rozruchu (BCD). Ustawienie tych zasad może skutkować odzyskiwaniem funkcji BitLocker po zaktualizowaniu oprogramowania układowego. W przypadku ustawienia tych zasad z uwzględnieniem indeksu PCR 0 należy wstrzymać funkcję BitLocker przed zastosowaniem aktualizacji oprogramowania układowego.

Obsługiwane na: Co najmniej system Windows Server 2012, Windows 8 lub Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Profil weryfikacji platformy składa się z zestawu indeksów rejestru konfiguracji platformy (PCR, Platform Configuration Register). Każdy indeks rejestru PCR jest skojarzony ze składnikami, które są uruchomione podczas uruchamiania systemu Windows.

Użyj poniższych pól wyboru, aby wybrać indeksy rejestru PCR, które zostaną uwzględnione w profilu.

Podczas zmiany tego ustawienia należy zachować ostrożność.

Zalecane jest użycie domyślnych indeksów rejestru PCR o wartości 0, 2, 4 i 11.

Aby ochrona za pomocą funkcji BitLocker zaczęła obowiązywać, musi być włączony indeks rejestru PCR 11.

Zapoznaj się z dokumentacją w trybie online, aby uzyskać więcej informacji dotyczących korzyści i zagrożeń wynikających ze zmiany domyślnego profilu weryfikacji platformy modułu TPM.

PCR 0: Kod wykonywalny głównego oprogramowania układowego systemu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Dane głównego oprogramowania układowego systemu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Rozszerzony lub podłączany kod wykonywalny
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Rozszerzone lub podłączane dane oprogramowania układowego
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Menedżer rozruchu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Tabela GPT/tabela partycji
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Wznowienie po zdarzeniach stanu zasilania S4 i S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Stan bezpiecznego rozruchu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Zainicjowano do wartości 0 bez rozszerzeń (zarezerwowano do użytku w przyszłości)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: Zainicjowano do wartości 0 bez rozszerzeń (zarezerwowano do użytku w przyszłości)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: Zainicjowano do wartości 0 bez rozszerzeń (zarezerwowano do użytku w przyszłości)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: Kontrola dostępu za pomocą funkcji BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Zdarzenia dotyczące danych i zdarzenia o niskiej trwałości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Szczegóły modułu rozruchu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Funkcje autoryzacji podczas rozruchu
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Zarezerwowane do użytku w przyszłości
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Szablony administracyjne (Komputery)

Szablony administracyjne (Użytkownicy)