Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware ...

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware (Trusted Platform Module) des Computers gesichert wird. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder wenn BitLocker bereits mit TPM-Schutz aktiviert ist.

Wenn Sie diese Richtlinieneinstellung aktivieren, bevor Sie BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die vom TPM überprüft werden, bevor der Zugriff auf das BitLocker-verschlüsselte Betriebssystemlaufwerk entsperrt wird. Ändert sich eine dieser Komponenten, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entsperren des Laufwerks nicht frei, und auf dem Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt und der Benutzer aufgefordert, entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel zum Entsperren des Laufwerks anzugeben.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet das TPM das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Gruppe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) im Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen (PCR 0), Options-ROM-Code (PCR 2), MBR-Code (Master Boot Record, PCR 4), NTFS-Startsektor (PCR 8), NTFS-Startblock (PCR 9), Start-Manager (PCR 10) sowie BitLocker-Zugriffssteuerung (PCR 11). Die Beschreibungen der PCR-Einstellungen für Computer, die EFI (Extensible Firmware Interface) verwenden, unterscheiden sich von den PCR-Einstellungen für Computer, die ein Standard-BIOS nutzen. Das Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung (auf Englisch) in Microsoft TechNet enthält eine vollständige Liste der PCR-Einstellungen sowohl für EFI- als auch Standard-BIOS-Computer.

Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformmodifikationen (böswillig oder autorisiert) kann abhängig von den eingeschlossenen bzw. ausgeschlossenen PCRs zu- oder abnehmen.