Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des ...

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel sichert. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder wenn BitLocker bereits mit TPM-Schutz eingeschaltet ist.

Wichtig: Diese Gruppenrichtlinie gilt nur für Computer mit systemeigener UEFI-Firmwarekonfiguration. Computer mit BIOS- oder UEFI-Firmware, für die ein Kompatibilitätsdienstmodul (Compatibility Service Module, CSM) aktiviert ist, speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (Platform Configuration Register, PCR). Verwenden Sie die Gruppenrichtlinieneinstellung "TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren", um das TPM PCR-Profil für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware und aktiviertem CSM zu konfigurieren.

Wenn Sie diese Richtlinieneinstellung vor der Aktivierung von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das BitLocker-verschlüsselte Betriebssystemlaufwerk entsperrt wird. Ändert sich eine dieser Komponenten, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel nicht zum Entsperren des Laufwerks frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und es muss entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel angegeben werden, um das Laufwerk freizugeben.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) in einem Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen am ausführbaren Code der Kernsystemfirmware (PCR 0), am erweiterten oder austauschbaren ausführbaren Code (PCR 2), am Start-Manager (PCR 4) und an der BitLocker-Zugriffssteuerung (PCR 11).

Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformmodifikationen (böswillig oder autorisiert) nimmt zu oder ab. Dies hängt davon an, ob PCRs eingefügt oder ausgeschlossen werden. Genauer gesagt: Wenn Sie diese Richtlinie ohne PCR 7 festlegen, wird die Gruppenrichtlinie "Sicheren Start für Integritätsüberprüfung zulassen" außer Kraft gesetzt. Dadurch wird verhindert, dass BitLocker den sicheren Start für die Integritätsüberprüfung der Plattform oder der Startkonfigurationsdaten (Boot Configuration Data, BCD) verwendet. Wenn diese Richtlinie festgelegt ist, wird beim Firmwareupdate u. U. eine BitLocker-Wiederherstellung durchgeführt. Wenn Sie diese Richtlinie so festlegen, dass PCR 0 einbezogen wird, sollten Sie BitLocker vor dem Installieren von Firmwareupdates anhalten.