Questa impostazione consente di configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) protegge ...

Questa impostazione consente di configurare il modo in cui l'hardware di sicurezza TPM (Trusted Platform Module) protegge la chiave di crittografia di BitLocker. Questa impostazione non si applica se il computer non dispone di un TPM compatibile o se BitLocker è già stato abilitato con protezione del TPM.

Se si abilita questa impostazione prima dell'abilitazione di BitLocker, sarà possibile configurare i componenti di avvio che saranno convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno qualsiasi di questi componenti viene modificato mentre è abilitata la protezione BitLocker, il TPM non rilascerà la chiave di crittografia per sbloccare l'unità. Inoltre nel computer verrà visualizzata la console di ripristino di BitLocker e richiesta la password di ripristino o la chiave di ripristino per sbloccare l'unità.

Se si disabilita o non si configura questa impostazione, il TPM utilizzerà il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione. Un profilo di convalida della piattaforma è costituito da un set di indici di registri di configurazione di piattaforma (PCR, Platform Configuration Register) compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche al CRTM (Core Root of Trust Measurement), al BIOS, alle estensioni della piattaforma (PCR 0), al codice Option ROM (PCR 2), al codice MBR (Record di avvio principale, Master Boot Record) (PCR 4), al settore di avvio NTFS (PCR 8), al blocco di avvio NTFS (PCR 9), a Boot Manager (PCR 10) e al controllo di accesso BitLocker (PCR 11). Le descrizioni delle impostazioni dei PCR per i computer che utilizzano un'interfaccia EFI (Extensible Firmware Interface) sono differenti da quelle relative alle impostazioni dei PCR per i computer che utilizzano un BIOS standard. Per un elenco completo delle impostazioni dei PCR per i computer con interfaccia EFI e per i computer con BIOS standard, consultare il documento BitLocker Drive Encryption Deployment Guide su Microsoft TechNet.

Avviso: Le modifiche al profilo di convalida della piattaforma predefinito hanno effetto sulla sicurezza e sulla gestione del computer. La sensibilità di BitLocker alle modifiche (autorizzate o non autorizzate) della piattaforma può aumentare o diminuire, rispettivamente, in base all'inclusione o all'esclusione dei PCR.