Настроить профиль проверки платформы TPM для собственных конфигураций встроенного ПО UEFI

Этот параметр политики позволяет указать, как оборудование безопасности для доверенного платформенного модуля (TPM) обеспечивает безопасность ключа шифрования BitLocker. Этот параметр неприменим, если на компьютере нет совместимого доверенного платформенного модуля, или если BitLocker уже включен и используется защита с помощью доверенного платформенного модуля.

Внимание! Эта групповая политика применяется только к компьютерам с собственной конфигурацией встроенного ПО UEFI. Компьютеры с BIOS или встроенным ПО UEFI с модулем Compatibility Service Module (CSM) сохраняют разные значения в регистре конфигурации платформы (PCR). Используйте параметр "Настроить профиль проверки платформы TPM для компьютеров с конфигурациями встроенного ПО на основе BIOS", чтобы настроить профиль PCR модуля TPM для компьютеров с конфигурациями BIOS или компьютеров с встроенным ПО UEFI, на которых включен модуль Compatibility Service Module (CSM).

Если этот параметр политики включен до включения BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед снятием блокировки доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования диска, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием указать ключ восстановления или пароль восстановления для снятия блокировки диска.

Если этот параметр политики отключен или не настроен, доверенный платформенный модуль использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы (PCR) в диапазоне от 0 до 23; профиль проверки платформы, используемый по умолчанию, защищает ключ шифрования от изменения исполняемого кода встроенного ПО базовой системы (PCR 0), расширяемого или подключаемого исполняемого кода (PCR 2), диспетчера загрузки (PCR 4) и управления доступом BitLocker (PCR 11).

Предупреждение. Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы. В частности, задание этой политики с пропущенным регистром PCR 7 приведет к переопределению групповой политики "Разрешить безопасную загрузку для проверки целостности", что помешает BitLocker использовать безопасную загрузку для платформы или проверки целостности данных конфигурации загрузки.

Поддерживается: Windows 8 и выше
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Профиль проверки платформы состоит из набора индексов PCR. Каждый индекс PCR связан с компонентами, запускаемыми при запуске Windows.

Используйте флажки ниже для выбора индексов PCR, включаемых в профиль.

Соблюдайте осторожность при изменении этого параметра.

Рекомендуются регистры по умолчанию: PCR 0, 2, 4 и 11.

Чтобы защита BitLocker вступила в силу, необходимо включить PCR 11.

Дополнительные сведения о преимуществах и рисках изменения профиля проверки платформы TPM по умолчанию см. в документации в Интернете.

PCR 0: исполняемый код встроенного ПО базовой системы
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name0
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 1: данные встроенного ПО базовой системы
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name1
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 2: расширенный или подключаемый исполняемый код
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name2
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 3: расширенные или подключаемые данные встроенного ПО
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name3
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 4: диспетчер загрузки
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name4
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 5: GPT/таблица разделов
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name5
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 6: возобновление из событий состояния электропитания S4 и S5
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name6
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 7: состояние безопасной загрузки
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name7
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 8: начальное значение задается равным нулю без расширений (зарезервировано для последующего использования)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name8
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 9: начальное значение задается равным нулю без расширений (зарезервировано для последующего использования)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name9
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 10: начальное значение задается равным нулю без расширений (зарезервировано для последующего использования)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name10
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 11: управление доступом BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name11
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
PCR 12: события данных и события высокой энергозависимости
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name12
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 13: сведения о модуле загрузки
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name13
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 14: центры загрузки
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name14
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 15: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name15
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 16: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name16
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 17: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name17
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 18: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name18
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 19: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name19
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 20: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name20
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 21: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name21
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 22: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name22
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
PCR 23: зарезервировано для будущего использования
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI
Value Name23
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)