Windows Server отображает конфигурацию PCR7 как "Привязка невозможна"

  • Статья

В этой статье описывается проблема с невозможностью привязки в msinfo32 и ее причина. Это относится как к клиентам Windows, так и к Windows Server.

Конфигурация PCR7 в msinfo32

Рассмотрим следующий сценарий.

  • Windows Server устанавливается на безопасной платформе с поддержкой загрузки.
  • Вы включаете доверенный платформенный модуль (TPM) 2.0 в едином интерфейсе расширяемого встроенного ПО (UEFI).
  • Вы включаете BitLocker.
  • Вы устанавливаете драйверы набора микросхем и обновляете последнюю версию ежемесячного накопительного пакета Майкрософт.
  • Вы также запустите tpm.msc , чтобы убедиться, что состояние доверенного платформенного модуля в порядке. Состояние отображает TPM готов к использованию.

В этом сценарии при запуске msinfo32 для проверка конфигурации PCR7 он отображается как Привязка невозможна.

Причина непредвиденного сообщения

BitLocker принимает только сертификат Microsoft Windows PCA 2011, используемый для подписывания компонентов ранней загрузки, которые будут проверены во время загрузки. Любая другая сигнатура, присутствующая в коде загрузки, приведет к тому, что BitLocker будет использовать профиль доверенного платформенного модуля 0, 2, 4, 11 вместо 7, 11. В некоторых случаях двоичные файлы подписываются сертификатом UEFI CA 2011, что предотвращает привязку BitLocker к PCR7.

Примечание.

ЦС UEFI можно использовать для подписывания сторонних приложений, параметров ПЗУ или даже сторонних загрузчиков, которые могут загружать вредоносный код (подписанный ЦС UEFI). В этом случае BitLocker переключается на PCR 0, 2, 4, 11. В случае PCR 0,2,4,11 Windows измеряет точные двоичные хэши вместо сертификата ЦС.

Windows защищена независимо от использования профиля TPM 0, 2, 4, 11 или профиля 7, 11.

Дополнительная информация

Чтобы проверка, соответствует ли ваше устройство требованиям, выполните следующие действия:

  1. Откройте командную строку с повышенными привилегиями и выполните msinfo32 команду .

  2. В разделе Сводка по системе убедитесь, что режим BIOS имеет значение UEFI, а конфигурация PCR7привязана.

  3. Откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду:

    Confirm-SecureBootUEFI

    Убедитесь, что возвращено значение True .

  4. Выполните следующую команду PowerShell.

    manage-bde -protectors -get $env:systemdrive

    Убедитесь, что диск защищен PCR 7.

    PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
BitLocker Drive Encryption: Configuration Tool version 10.0.22526
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [OSDisk]
All Key Protectors

    TPM:
     ID: <GUID>
    PCR Validation Profile:
    7, 11
    (Uses Secure Boot for integrity validation)

Сбор данных

Если вам нужна помощь службы поддержки Microsoft, мы рекомендуем собирать информацию путем выполнения действий, описанных в разделе Сбор информации с помощью TSS для решения проблем, связанных с развертыванием.