Этот параметр политики позволяет указать, как оборудование безопасности доверенного платформенного модуля компьютера обеспечивает ...

Этот параметр политики позволяет указать, как оборудование безопасности доверенного платформенного модуля компьютера обеспечивает безопасность ключа шифрования BitLocker. Этот параметр политики неприменим, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.

Внимание! Эта групповая политика применима только к компьютерам с основной конфигурацией встроенного ПО UEFI. Компьютеры со встроенным ПО BIOS или UEFI и включенным модулем службы совместимости (CSM) сохраняют разные значения в регистрах конфигурации платформы. Используйте параметр групповой политики «Настройка профиля проверки платформы доверенного платформенного модуля для конфигураций встроенного ПО на базе BIOS», чтобы настроить профиль регистра конфигурации платформы доверенного платформенного модуля на компьютерах с конфигурациями BIOS или встроенным ПО UEFI и включенным CSM.

Если вы включаете этот параметр политики до включения BitLocker, вы можете настроить компоненты загрузки, которые доверенный платформенный модуль будет проверять перед разблокировкой доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какой-либо из этих компонентов изменится при включенной защите BitLocker, доверенный платформенный модуль не предоставит ключ шифрования для разблокирования диска, а во время загрузки компьютера будет отображена консоль восстановления BitLocker с требованием предоставить ключ восстановления или пароль восстановления для разблокировки диска.

Если вы отключаете или не настраиваете этот параметр политики, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в сценарии установки. Профиль проверки платформы состоит из набора индексов регистров конфигурации платформы в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменения исполняемого кода базового системного встроенного ПО (PCR 0), расширенного или подключаемого исполняемого кода (PCR 2), диспетчера загрузки (PCR 4) и управления доступом BitLocker (PCR 11).

Внимание! Изменение профиля проверки платформы по умолчанию может повлиять на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (как вредоносным, так и санкционированным) может повышаться или понижаться в зависимости (соответственно) от включения или выключения регистров конфигурации платформы. В частности, настройка этого параметра политики с пропуском PCR 7 переопределит групповую политику «Разрешить защищенную загрузку для проверки целостности» и запретит программе BitLocker использовать защищенную загрузку для проверки целостности платформы или данных конфигурации загрузки. Настройка этого параметра политики может привести к восстановлению BitLocker при обновлении встроенного ПО.  Если этот параметр политики установлен на включение реестра конфигурации платформы 0, приостановите BitLocker перед применением обновлений встроенного ПО.