Windows Server zeigt die PCR7-Konfiguration als "Bindung nicht möglich" an.
In diesem Artikel werden das Problem bindung nicht möglich in msinfo32 und die Ursache des Problems vorgestellt. Dies gilt sowohl für Windows-Clients als auch für Windows Server.
PCR7-Konfiguration in msinfo32
Stellen Sie sich folgendes Szenario vor:
- Windows Server wird auf einer sicheren Startplattform installiert.
- Sie aktivieren Trusted Platform Module (TPM) 2.0 in Unified Extensible Firmware Interface (UEFI).
- Sie aktivieren BitLocker.
- Sie installieren Chipsatztreiber und aktualisieren das neueste monatliche Microsoft-Rollup.
- Außerdem führen Sie tpm.msc aus, um sicherzustellen, dass die TPM-status in Ordnung ist. Die status zeigt Das TPM ist einsatzbereit an.
Wenn Sie in diesem Szenario msinfo32 ausführen, um die PCR7-Konfiguration zu überprüfen, wird dies als Bindung nicht möglich angezeigt.
Ursache der unerwarteten Nachricht
BitLocker akzeptiert nur das Microsoft Windows PCA 2011-Zertifikat, das zum Signieren von Komponenten für den frühen Start verwendet wird, die während des Starts überprüft werden. Jede andere Signatur, die im Startcode vorhanden ist, bewirkt, dass BitLocker das TPM-Profil 0, 2, 4, 11 anstelle von 7, 11 verwendet. In einigen Fällen werden die Binärdateien mit einem UEFI CA 2011-Zertifikat signiert, sodass Sie BitLocker nicht an PCR7 binden können.
Hinweis
Die UEFI-Zertifizierungsstelle kann verwendet werden, um Drittanbieteranwendungen, Options-ROMs oder sogar Startladeprogramme von Drittanbietern zu signieren, die schädlichen Code (von der UEFI-Zertifizierungsstelle signiert) laden können. In diesem Fall wechselt BitLocker zu PCR 0, 2, 4, 11. Bei PCR 0,2,4,11 misst Windows genaue binäre Hashes anstelle des Zertifizierungsstellenzertifikats.
Windows ist unabhängig von der Verwendung von TPM-Profil 0, 2, 4, 11 oder Profil 7, 11 sicher.
Weitere Informationen
So überprüfen Sie, ob Ihr Gerät die Anforderungen erfüllt:
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den
msinfo32
Befehl aus.Vergewissern Sie sich in der Systemzusammenfassung, dass der BIOS-ModusUEFI und die PCR7-Konfigurationgebunden ist.
Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:
Confirm-SecureBootUEFI
Vergewissern Sie sich, dass der Wert True zurückgegeben wird.
Führen Sie den folgenden PowerShell-Befehl aus:
manage-bde -protectors -get $env:systemdrive
Vergewissern Sie sich, dass das Laufwerk durch PCR 7 geschützt ist.
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die Schritte unter Sammeln von Informationen mithilfe von TSS für Bereitstellungsprobleme ausführen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für