Configurar perfil de validação da plataforma TPM para configurações de firmware UEFI nativo
Esta definição de política permite configurar a forma como o hardware de segurança de TPM (Trusted Platform Module) do computador protege a chave de encriptação BitLocker. Esta definição de política não é aplicável se o computador não tiver um TPM compatível ou se o BitLocker já estiver ativado com proteção TPM.
Importante: esta política de grupo só é aplicável a computadores com uma configuração de firmware UEFI nativo. Os computadores com BIOS ou firmware UEFI com um módulo CSM (Compatibility Service Module) ativado armazenam valores diferentes nos Registos de Configuração de Plataforma (PCRs). Utilize a definição de política de grupo "Configurar perfil de validação da plataforma TPM para configurações de firmware baseado em BIOS" para configurar o perfil PCR de TPM para computadores com configurações BIOS ou computadores com firmware UEFI com um módulo CSM ativado.
Se ativar esta definição de política antes de ativar o BitLocker, poderá configurar os componentes de arranque que o TPM validará antes de desbloquear o acesso à unidade de sistema operativo encriptada por BitLocker. Se qualquer um destes componentes for alterado enquanto a proteção BitLocker estiver em vigor, o TPM não libertará a chave de encriptação para desbloquear a unidade e, em vez disso, o computador apresentará a consola Recuperação BitLocker e exigirá que seja fornecida a palavra-passe ou chave de recuperação para desbloquear a unidade.
Se desativar ou não configurar esta definição de política, o BitLocker utilizará o perfil de validação de plataforma predefinido ou o perfil de validação de plataforma especificado pelo script de configuração. O perfil de validação de plataforma consiste num conjunto de índices de Registo de Configuração de Plataforma (PCR), de 0 a 23. O perfil de validação de plataforma predefinido protege a chave de encriptação contra alterações no código executável de firmware do sistema principal (PCR 0), no código executável expandido ou incorporável (PCR 2), no gestor de arranque (PCR 4) e no controlo de acesso do BitLocker (PCR 11).
Aviso: efetuar alterações a partir do perfil de validação de plataforma predefinido afeta a segurança e a capacidade de gestão do computador. A sensibilidade do BitLocker a modificações de plataforma (maliciosas ou autorizadas) aumenta ou diminui dependendo da inclusão ou exclusão (respetivamente) dos PCRs. Especificamente, definir esta política com PCR 7 omitido substituirá a política de grupo "Permitir Arranque Seguro para validação de integridade", impedindo o BitLocker de utilizar o Arranque Seguro para validação de integridade da plataforma ou dos Dados de Configuração de Arranque (BCD). A definição desta política poderá resultar na recuperação BitLocker quando o firmware for atualizado. Se definir esta política para incluir PCR 0, suspenda o BitLocker antes de aplicar atualizações de firmware.
Suportado em: Pelo menos, Windows Server 2012, Windows 8 ou Windows RT
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
O perfil de validação da plataforma consiste num conjunto de índices de Registo de Configuração de Plataforma (PCR). Cada índice de PCR está associado a componentes que são executados quando o Windows é iniciado.
Utilize as caixas de verificação abaixo para escolher os índices de PCR a incluir no perfil.
Tenha cuidado quando alterar esta definição.
Recomendamos a predefinição dos PCR 0, 2, 4 e 11.
Para que a proteção BitLocker produza efeitos, tem de incluir PCR 11.
Consulte a documentação online, para mais informações sobre os benefícios e riscos de alterar o perfil de validação da plataforma TPM predefinida.
PCR 0: código executável de Firmware do Sistema Principal
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 0 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 1: dados de Firmware do Sistema Principal
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 1 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 2: código executável expandido ou incorporável
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 2 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 3: dados de firmware expandido ou incorporável
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 3 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 4: Gestor de Arranque
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 4 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 5: GPT/Tabela de Partições
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 5 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 6: Retomar a partir de Eventos de Estado de Energia S4 e S5
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 6 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 7: Estado do Arranque Seguro
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 7 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 8: Inicializado como 0 sem Expansões (reservado para utilização futura)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 8 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 9: Inicializado como 0 sem Expansões (reservado para utilização futura)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 9 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 10: Inicializado como 0 sem Expansões (reservado para utilização futura)
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 10 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 11: Controlo de Acesso do BitLocker
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 11 |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
PCR 12: Eventos de dados e eventos de volatilidade elevada
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 12 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 13: Detalhes do Módulo de Arranque
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 13 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 14: Autoridades de Arranque
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 14 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 15: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 15 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 16: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 16 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 17: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 17 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 18: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 18 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 19: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 19 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 20: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 20 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 21: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 21 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 22: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 22 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
PCR 23: Reservado para Utilização Futura
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
Value Name | 23 |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
volumeencryption.admx