Configurer le profil de validation de plateforme du module de plateforme sécurisée

Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l'ordinateur sécurise la clé de chiffrement de BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur n'a pas de module de plateforme sécurisée compatible ou si BitLocker a déjà été activé avec la protection du module de plateforme sécurisée.

Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage qui seront validés par le module de plateforme sécurisée avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur et l'ordinateur affiche la console de récupération BitLocker et demande un mot de passe ou une clé de récupération pour déverrouiller le lecteur.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou celui spécifié par le script d'installation. Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR, Platform Configuration Register) allant de 0 à 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées au CTRM (Core Root of Trust of Measurement), au BIOS, aux extensions de plateforme (PCR 0), au code de ROM en option (PCR 2), au code de l'enregistrement de démarrage principal (PCR 4), au secteur de démarrage NTFS (PCR 8), au bloc de démarrage NTFS (PCR 9), au gestionnaire de démarrage (PCR 10) et au contrôle d'accès BitLocker (PCR 11). Les descriptions des paramètres PCR pour les ordinateurs qui utilisent une interface EFI (Extensible Firmware Interface) sont différentes de celles des paramètres PCR utilisés pour les ordinateurs avec BIOS standard.

Avertissement : la modification du profil par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) augmente ou diminue en fonction de l'inclusion ou de l'exclusion (respectivement) des registres de configuration de plateforme (PCR).

Pris en charge sur : MicrosoftWindows7
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s'exécutent au démarrage de Windows.

Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil.

Soyez prudent lors de la modification de ce paramètre.

Le profil constitué des registres de configuration de plateforme 0, 2, 4, 8, 9, 10 et 11 est recommandé.

Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11.

Consultez la documentation en ligne pour plus d'informations sur les avantages et les risques liés à la modification du profil de validation de plateforme du module de plateforme sécurisée.

PCR 0 : CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1 : Configuration et données de plateforme et de carte mère
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2 : Code de ROM en option
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3 : Configuration et données de ROM en option
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4 : Code d'enregistrement de démarrage principal (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5 : Table de partition d'enregistrement de démarrage principal (MBR)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6 : Événements de transition d'état et de sortie de veille
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7 : Spécificité du fabricant de l'ordinateur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8 : Secteur d'amorçage NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name8
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 9 : Bloc d'amorçage NTFS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name9
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 10 : Gestionnaire de démarrage
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name10
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 11 : Contrôle d'accès BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23 : Réservé pour un usage futur
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\PlatformValidation
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Modèles d'administration (ordinateurs)

Modèles d'administration (utilisateurs)