Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se presenta el problema Binding not possible en msinfo32 y la causa del problema. Esto se aplica tanto a los clientes de Windows como a Windows Server.
Configuración de PCR7 en msinfo32
Considere el caso siguiente:
- Windows Server se instala en una plataforma segura habilitada para arranque.
- Habilite módulo de plataforma segura (TPM) 2.0 en Unified Extensible Firmware Interface (UEFI).
- Activa BitLocker.
- Instale controladores de conjunto de chips y actualice el paquete acumulativo mensual de Microsoft más reciente.
- También ejecuta tpm.msc para asegurarse de que el estado del TPM es correcto. El estado muestra que el TPM está listo para su uso.
En este escenario, cuando se ejecuta msinfo32 para comprobar la configuración de PCR7, se muestra como Enlace no es posible.
Causa del mensaje inesperado
BitLocker solo acepta el certificado PCA 2011 de Microsoft Windows que se usará para firmar componentes de arranque anticipados que se validarán durante el arranque. Cualquier otra firma presente en el código de arranque hará que BitLocker use el perfil de TPM 0, 2, 4, 11 en lugar de 7, 11. En algunos casos, los archivos binarios se firman con el certificado UEFI CA 2011, lo que le impedirá enlazar BitLocker a PCR7.
Nota
La CA de UEFI se puede usar para firmar aplicaciones de terceros, ROMs de opción o incluso cargadores de arranque de terceros que pueden cargar código malintencionado (firmado por la CA ueFI). En este caso, BitLocker cambia a PCR 0, 2, 4, 11. En los casos de PCR 0,2,4,11, Windows mide los hash binarios exactos en lugar del certificado de CA.
Windows es seguro independientemente del uso del perfil de TPM 0, 2, 4, 11 o perfil 7, 11.
Más información
Para comprobar si el dispositivo cumple los requisitos:
Abra un símbolo del sistema con privilegios elevados y ejecute el
msinfo32comando.En Resumen del sistema, compruebe que el modo BIOS es UEFI y que la configuración de PCR7 está enlazada.
Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:
Confirm-SecureBootUEFICompruebe que se devuelve el valor de True .
Ejecute el siguiente comando de PowerShell:
manage-bde -protectors -get $env:systemdriveCompruebe que la unidad está protegida por PCR 7.
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
datos, recopilación
Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas relacionados con la implementación.