Этот параметр политики позволяет указать, как оборудование безопасности для доверенного платформенного модуля (TPM) обеспечивает ...

Этот параметр политики позволяет указать, как оборудование безопасности для доверенного платформенного модуля (TPM) обеспечивает безопасность ключа шифрования BitLocker. Этот параметр неприменим, если на компьютере нет совместимого доверенного платформенного модуля, либо же если BitLocker уже включен и используется защита с помощью доверенного платформенного модуля.

Если этот параметр политики включен до включения BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед разблокировкой доступа к тому операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования тома, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием предоставления ключа восстановления или пароля восстановления для разблокировки диска.

Если этот параметр политики отключен или не настроен, доверенный платформенный модуль использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы (PCR) в диапазоне от 0 до 23; профиль проверки платформы, используемый по умолчанию, защищает ключ шифрования от изменения базового доверенного источника оценки (CRTM), BIOS, расширений платформы (PCR 0), кода Option ROM (PCR 2), кода основной загрузочной записи (MBR) (PCR 4), загрузочного сектора NTFS (PCR 8), блока загрузки NTFS (PCR 9), диспетчера загрузки (PCR 10) и управления доступом BitLocker (PCR 11). Описания параметров регистров конфигурации платформы для компьютеров, на которых используется EFI, отличаются от параметров регистров конфигурации платформы, указываемых для компьютеров с обычной системой BIOS. В руководстве по развертыванию шифрования дисков BitLocker, приведенном на веб-сайте Microsoft TechNet, имеется полный список параметров регистров конфигурации платформы для EFI и обычной системы BIOS.

Внимание! Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы.