Definir perfil de validação de plataforma do TPM para configurações de firmware baseadas no BIOS

Esta configuração de política permite a você definir o modo como o hardware de segurança do TPM (Trusted Platform Module) do computador protege a chave de criptografia BitLocker. Essa configuração de política não se aplicará se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção do TPM.

Importante: essa política de grupo se aplica apenas aos computadores com configurações de BIOS ou com firmware UEFI com um CSM (Compatibility Service Module) habilitado. Os computadores que usarem uma configuração de firmware UEFI nativo armazenarão valores diferentes nos PCRs (Registros de Configuração de Plataforma). Use a configuração de política de grupo "Configurar perfil de validação de plataforma do TPM para configurações de firmware UEFI nativo" para definir o perfil de PCR do TPM para computadores que usam firmware UEFI nativo.

Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização que o TPM validará antes de desbloquear o acesso à unidade de sistema operacional criptografada com BitLocker. Se um desses componentes for alterado enquanto a proteção do BitLocker estiver em vigor, o TPM não liberará a chave de criptografia para desbloquear a unidade e o computador exibirá o console de Recuperação do BitLocker e exigirá o fornecimento da senha de recuperação ou da chave de recuperação para desbloquear a unidade.

Se você desabilitar ou não definir essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de instalação. Um perfil de validação de plataforma consiste em um conjunto de índices de PCR que vão desde 0 a 23. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações no CRTM (Core Root of Trust of Measurement), BIOS e Extensões de Plataforma (PCR 0), Código de ROM Opcional (PCR 2), Código MBR (Master Boot Record) (PCR 4), Setor de Inicialização do NTFS (PCR 8), Bloco de Inicialização do NTFS (PCR 9), Gerenciador de Inicialização (PCR 10) e Controle de Acesso do BitLocker (PCR 11).

Aviso: a alteração do perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker às modificações de plataforma (mal intencionadas ou autorizadas) será aumentada ou reduzida de acordo com a inclusão ou exclusão (respectivamente) de PCRs.

Suporte em: Pelo menos Windows 8
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Um perfil de validação de plataforma consiste em um conjunto de índices de PCR (Registro de Configuração de Plataforma). Cada índice de PCR está associado a componentes que são executados quando o Windows é iniciado.

Use as caixas de seleção abaixo para escolher os índices de PCR a serem incluídos no perfil.

Tenha cuidado ao alterar essa configuração.

É recomendável o padrão dos PCRs 0, 2, 4, 8, 9, 10 e 11.

Para a proteção do BitLocker ter efeito, inclua o PCR 11.

Consulte a documentação online para obter mais informações sobre os benefícios e os riscos da alteração do perfil de validação de plataforma do TPM padrão.

PCR 0: CRTM (Core Root of Trust of Measurement), BIOS e Extensões de Plataforma
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: Dados e Configuração da Plataforma e da Placa-mãe
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: Código do Option ROM
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: Dados e Configuração do Option ROM
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: Código do MBR (Registro Mestre de Inicialização)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: Tabela de Partição do MBR (Registro Mestre de Inicialização)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: Transição de Estado e Eventos de Ativação
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: Específico do Fabricante do Computador
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: Setor de Inicialização do NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9: Bloco de Inicialização do NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10: Gerenciador de Inicialização
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11: Controle de Acesso do BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: Reservado para Uso Futuro
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_BIOS
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Modelos Administrativos (Computadores)

Modelos Administrativos (Usuários)