Esta configuración de directiva le permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura ...

Esta configuración de directiva le permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se activó con protección de TPM.

Importante: esta directiva de grupo solo se aplica a equipos con configuración de firmware UEFI nativo. Los equipos con firmware BIOS o UEFI con un módulo de servicio de compatibilidad (CSM) habilitado almacenan diferentes valores en los Registros de configuración de plataforma (PCR). Use la configuración de directiva de grupo "Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basado en BIOS" para configurar el perfil de PCR del TPM para equipos con configuraciones BIOS o equipos con firmware UEFI con CSM habilitado.

Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM validará antes de desbloquear el acceso a la unidad del sistema operativo cifrada con BitLocker. Si alguno de esos componentes cambia mientras la protección de BitLocker está activa, el TPM no proporcionará la clave de cifrado para desbloquear la unidad, y el equipo mostrará, en lugar de ello, la consola de recuperación de BitLocker y solicitará que se suministre la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.

Si deshabilita o no establece esta configuración de directiva, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma que especifique el script de configuración. Un perfil de validación de plataforma consiste en un conjunto de índices de Registro de configuración de la plataforma (PCR) que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra cambios en el código ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o acoplable (PCR 2), el administrador de arranque (PCR 4) y el control de acceso a BitLocker (PCR 11).

Advertencia: el cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración de su equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionadas o no autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR. Específicamente, configurar esta directiva con omisión de PCR 7 invalidará la directiva de grupo "Permitir Arranque seguro para comprobar integridad", lo que impedirá que BitLocker use Arranque seguro para comprobar la validación de la plataforma o la integridad de los datos de configuración de arranque (BCD). Si esta directiva se establece, puede producirse una recuperación de BitLocker cuando el firmware se actualice. Si establece esta directiva de forma que incluya PCR 0, suspenda BitLocker antes de actualizar el firmware.