BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정으로 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어로 BitLocker 암호화 키의 보안을 유지하는 방법을 구성할 수 있습니다. 컴퓨터에 호환되는 TPM이 없거나 이미 BitLocker가 TPM 보호 기능과 함께 설정된 경우에는 이 정책 설정이 적용되지 않습니다.

중요: 이 그룹 정책은 BIOS 구성이 설정된 컴퓨터 또는 CSM(호환성 서비스 모듈)이 사용되는 UEFI 펌웨어가 설치된 컴퓨터에만 적용됩니다. 기본 UEFI 펌웨어 구성을 사용하는 컴퓨터는 PCR(플랫폼 구성 레지스트리)에 여러 값을 저장합니다. "기본 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성" 그룹 정책 설정을 사용하여 기본 UEFI 펌웨어를 사용하는 컴퓨터에 대해 TPM PCR 프로필을 구성할 수 있습니다.

BitLocker를 설정하기 전에 이 정책 설정을 사용하도록 설정하면 BitLocker로 암호화된 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM에서 검사할 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경될 경우 TPM은 암호화 키를 해제하여 드라이브의 잠금을 해제하지 않으며, 대신 컴퓨터에서 BitLocker 복구 콘솔을 표시하고 드라이브의 잠금을 해제하려면 복구 암호나 복구 키를 입력하라고 요구합니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker에서는 기본 플랫폼 유효성 검사 프로필이나 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다. 플랫폼 유효성 검사 프로필은 0에서 23 사이의 PCR(플랫폼 구성 레지스터) 인덱스 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 CRTM(Core Root of Trust of Measurement), BIOS 및 플랫폼 확장(PCR 0), 옵션 ROM 코드(PCR 2), MBR(마스터 부트 레코드) 코드(PCR 4), NTFS 부트 섹터(PCR 8), NTFS 부팅 블록(PCR 9), 부팅 관리자(PCR 10) 및 BitLocker 액세스 제어(PCR 11)에 대한 변경으로부터 암호화 키를 보호합니다.

경고: 기본 프로필을 변경하면 컴퓨터의 보안과 관리 효율에 영향을 미칩니다. 악의적이거나 허가된 플랫폼 수정에 대한 BitLocker의 민감도는 PCR를 포함시키느냐 제외시키느냐에 따라 늘어나거나 줄어듭니다.

지원: Windows 8 이상
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

PCR(플랫폼 구성 레지스터) 인덱스 집합으로 구성된 플랫폼 유효성 검사 프로필입니다. 각 PCR 인덱스는 Windows가 시작될 때 실행되는 구성 요소와 연결됩니다.

아래 확인란을 사용하여 프로필에 포함할 PCR 인덱스를 선택합니다.

이 설정을 변경할 때는 주의하십시오.

PCR 0, 2, 4, 8, 9, 10 및 11의 기본값을 사용하는 것이 좋습니다.

BitLocker 보호를 적용하려면 PCR 11을 포함해야 합니다.

기본 TPM 플랫폼 유효성 검사 프로필을 변경할 경우의 장점과 위험함에 따른 자세한 내용은 온라인 설명서를 참조하십시오.

PCR 0: CRTM(Core Root of Trust of Measurement), BIOS 및 플랫폼 확장
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: 플랫폼과 마더보드 구성 및 데이터
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: 옵션 ROM 코드
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: 옵션 ROM 구성 및 데이터
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: MBR(마스터 부트 레코드) 코드
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: MBR(마스터 부트 레코드) 파티션 테이블
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: 상태 전환 및 깨우기 이벤트
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: 컴퓨터 제조업체별
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: NTFS 부팅 섹터
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: NTFS 부팅 블록
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: 부팅 관리자
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: BitLocker 액세스 제어
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: 예약됨
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

관리 템플릿(컴퓨터)

관리 템플릿(사용자)