Questa impostazione dei criteri consente di configurare la modalità di protezione della chiave di crittografia di BitLocker ...

Questa impostazione dei criteri consente di configurare la modalità di protezione della chiave di crittografia di BitLocker da parte del modulo TPM (Trusted Platform Module) del computer. Questa impostazione dei criteri non si applica se il computer non è provvisto di un TPM compatibile o se BitLocker è già stato abilitato con protezione TPM.

Se abiliti questa impostazione dei criteri prima di abilitare BitLocker, è possibile configurare i componenti di avvio che vengono convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo con crittografia BitLocker. Se uno o più di tali componenti vengono modificati mentre la protezione BitLocker è attiva, il TPM non rilascia la chiave di crittografia per sbloccare l'unità e il computer visualizza invece la console Ripristino BitLocker e richiede l'immissione della password o della chiave di ripristino per sbloccare l'unità.

Se si disabilita o non si configura questa impostazione dei criteri, il TPM utilizzerà il profilo di convalida della piattaforma predefinito o il profilo di convalida della piattaforma specificato dallo script di configurazione. Un profilo di convalida della piattaforma è costituito da un set di indici di registri di configurazione di piattaforma (PCR, Platform Configuration Register) compresi tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche al CRTM (Core Root of Trust Measurement), al BIOS, alle estensioni della piattaforma (PCR 0), al codice Option ROM (PCR 2), al codice MBR (Record di avvio principale, Master Boot Record) (PCR 4), al settore di avvio NTFS (PCR 8), al blocco di avvio NTFS (PCR 9), a Boot Manager (PCR 10) e al controllo di accesso BitLocker (PCR 11). Le descrizioni delle impostazioni dei PCR per i computer che utilizzano un'interfaccia EFI (Extensible Firmware Interface) sono differenti da quelle relative alle impostazioni dei PCR per i computer che utilizzano un BIOS standard.

Avviso: la modifica del profilo di convalida predefinito della piattaforma influisce sulla sicurezza e la gestibilità del computer. La sensibilità di BitLocker alle modifiche apportate alla piattaforma (autorizzate o dovute ad attacchi di utenti malintenzionati) aumenta o si riduce a seconda rispettivamente dell'inclusione o dell'esclusione di registri PCR.