Esta configuração de política permite configurar como o hardware de segurança TPM do computador protege a chave de criptografia ...

Esta configuração de política permite configurar como o hardware de segurança TPM do computador protege a chave de criptografia do BitLocker. Essa configuração de política não será aplicável se o computador não possuir um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção TPM.

Importante: esta política de grupo é aplicável somente a computadores com uma configuração de firmware UEFI nativo. Computadores com BIOS ou firmware UEFI com um CSM (Módulo de Serviço de Compatibilidade) habilitado armazenam valores diferentes nos PCRs (Registros de Configuração de Plataforma). Use a configuração de política de grupo "Configurar perfil de validação de plataforma TPM para configurações de firmware com base em BIOS" para configurar o perfil TPM PCR para computadores com configurações de BIOS ou firmware UEFI com um CSM habilitado.

Se você habilitar essa configuração de política antes de ativar o BitLocker, poderá configurar os componentes de inicialização que o TPM validará antes de desbloquear o acesso à unidade do sistema operacional criptografada por BitLocker. Se algum desses componentes for alterado enquanto a proteção do BitLocker estiver ativa, o TPM não liberará a chave de criptografia para desbloquear a unidade, e o computador exibirá o console de Recuperação do BitLocker e exigirá que a senha ou a chave de recuperação seja informada para desbloquear a unidade.

Se você desabilitar ou não definir essa configuração de política, o BitLocker usará o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de configuração. Um perfil de validação de plataforma consiste em um conjunto de índices de PCR (Registro de Configuração de Plataforma) que variam de 0 a 23. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações no código executável de firmware de sistema principal (PCR 0), código executável estendido ou conectável (PCR 2), gerenciador de inicialização (PCR 4) e controle de acesso do BitLocker (PCR 11).

Aviso: a alteração do perfil de validação de plataforma padrão afetará a segurança e a capacidade de gerenciamento do seu computador. A sensibilidade do BitLocker às modificações de plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui à medida que os PCRs são incluídos ou excluídos (respectivamente). Especificamente, configurar essa política com o PCR 7 omitido substitui a política de grupo "Permitir Inicialização Segura para validação de integridade", impedindo assim que o BitLocker use a Inicialização Segura para plataforma ou a validação de integridade de BCD (Dados de Configuração da Inicialização). A configuração dessa política pode resultar na recuperação de BitLocker quando o firmware é atualizado. Se você configurar essa política para incluir o PCR 0, suspenda o BitLocker antes de aplicar atualizações de firmware.