Esta configuração de política permite configurar como o hardware de segurança TPM do computador protege a chave de criptografia ...

Esta configuração de política permite configurar como o hardware de segurança TPM do computador protege a chave de criptografia do BitLocker. Essa configuração de política não será aplicável se o computador não possuir um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção TPM.

Importante: esta política de grupo é aplicável somente a computadores com configurações de BIOS ou a computadores com firmware UEFI com um CSM (Módulo de Serviço de Compatibilidade) habilitado.  Computadores que usam uma configuração de firmware UEFI nativo armazenam valores diferentes nos PCRs (Registros de Configuração de Plataforma).  Use a configuração de política de grupo "Configurar perfil de validação de plataforma TPM para configurações de firmware UEFI nativo" para configurar o perfil TPM PCR para computadores que usam firmware UEFI nativo.

Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização que o TPM validará antes de desbloquear o acesso à unidade do sistema operacional criptografada por BitLocker. Se algum desses componentes for alterado enquanto a proteção do BitLocker estiver ativa, o TPM não liberará a chave de criptografia para desbloquear a unidade, e o computador exibirá o console de Recuperação do BitLocker e exigirá que a senha ou a chave de recuperação seja informada para desbloquear a unidade.

Se você desabilitar ou não definir essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de configuração. Um perfil de validação de plataforma consiste em um conjunto de índices de PCR (Registro de Configuração de Plataforma) que variam de 0 a 23. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações nestes itens: CRTM (Core Root of Trust of Measurement), BIOS e extensões de plataforma (PCR 0), Código do Option ROM (PCR 2), Código MBR (Master Boot Record) (PCR 4), Setor de Inicialização do NTFS (PCR 8), Bloco de Inicialização do NTFS (PCR 9), Gerenciador de Inicialização (PCR 10) e Controle de Acesso do BitLocker (PCR 11).

Aviso: a alteração do perfil de validação de plataforma padrão afetará a segurança e a capacidade de gerenciamento do seu computador. A sensibilidade do BitLocker às modificações de plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui à medida que os PCRs são incluídos ou excluídos (respectivamente).