Ce paramètre de stratégie permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de ...

Ce paramètre de stratégie permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l'ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée ou si BitLocker est déjà activé par la protection du module de plateforme sécurisée.

Important : ce paramètre de stratégie s'applique uniquement aux ordinateurs avec une configuration de microprogramme UEFI native. Les ordinateurs avec un microprogramme BIOS ou UEFI et un module de service de compatibilité stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS » pour configurer le profil PCR du module de plateforme sécurisée pour les ordinateurs avec configurations BIOS ou les ordinateurs avec un module de service de compatibilité activé.

Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage que le module de plateforme sécurisée valide avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l'ordinateur affiche la console Récupération BitLocker et requiert que le mot de passe ou la clé de récupération soit fourni pour déverrouiller le lecteur.

Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation. Un profil de validation de plateforme consiste en un ensemble d'index de registre de configuration de plateforme (PCR), compris entre 0 et 23. Le profil de validation de plateforme par défaut protège la clé de chiffrement contre les modifications du code exécutable du microprogramme du système noyau (PCR 0), le code exécutable étendu ou enfichable (PCR 2), le gestionnaire de démarrage (PCR 4), et le contrôle d'accès BitLocker (PCR 11).

Avertissement : la modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (autorisées ou malveillantes) augmente ou diminue en fonction de l'inclusion ou de l'exclusion (respectivement) des registres de configuration de plateforme. Plus particulièrement, le fait de configurer cette stratégie en omettant PCR 7 remplace la stratégie de groupe « Autoriser le démarrage sécurisé pour la validation de l'intégrité », empêchant ainsi BitLocker d'utiliser le démarrage sécurisé pour la validation de l'intégrité de la plateforme ou des données de configuration de démarrage. Le fait de configurer cette stratégie peut entraîner une récupération BitLocker lorsque des microprogrammes sont mis à jour. Si vous configurez cette stratégie en incluant PCR 0, suspendez BitLocker avant d'appliquer des mises à jour de microprogrammes.