Windows Server affiche la configuration PCR7 comme « Liaison non possible »

Cet article présente le problème de liaison impossible dans msinfo32 et la cause du problème. Cela s’applique aux clients Windows et à Windows Server.

Configuration DE PCR7 dans msinfo32

Prenons l’exemple du scénario suivant :

• Windows Server est installé sur une plateforme de démarrage sécurisée.
• Vous activez le module de plateforme sécurisée (TPM) 2.0 dans l’interface UEFI (Unified Extensible Firmware Interface).
• Vous activez BitLocker.
• Vous installez les pilotes de circuits microprogrammés et mettez à jour le dernier correctif cumulatif mensuel Microsoft.
• Vous exécutez également tpm.msc pour vous assurer que le status du module de plateforme sécurisée est correct. Le status affiche le module de plateforme sécurisée (TPM) est prêt à être utilisé.

Dans ce scénario, lorsque vous exécutez msinfo32 pour case activée la configuration DEP7, elle s’affiche en tant que Liaison impossible.

Cause du message inattendu

BitLocker accepte uniquement le certificat Microsoft Windows PCA 2011 à utiliser pour signer les composants de démarrage anticipés qui seront validés pendant le démarrage. Toute autre signature présente sur le code de démarrage amène BitLocker à utiliser le profil TPM 0, 2, 4, 11 au lieu de 7, 11. Dans certains cas, les fichiers binaires sont signés avec le certificat UEFI CA 2011, ce qui vous empêche de lier BitLocker à PCR7.

Remarque

L’autorité de certification UEFI peut être utilisée pour signer des applications tierces, des roMs d’option ou même des chargeurs de démarrage tiers qui peuvent charger du code malveillant (signé par l’autorité de certification UEFI). Dans ce cas, BitLocker passe à LAP 0, 2, 4, 11. Dans les cas de LAP 0,2,4,11, Windows mesure les hachages binaires exacts au lieu du certificat d’autorité de certification.

Windows est sécurisé indépendamment de l’utilisation du profil TPM 0, 2, 4, 11 ou du profil 7, 11.

Plus d’informations

Pour case activée si votre appareil répond aux exigences :

1. Ouvrez une invite de commandes avec élévation de privilèges et exécutez la msinfo32 commande .

2. Dans Résumé du système, vérifiez que le mode BIOS est UEFI et que configuration PCR7 est lié.

3. Ouvrez une invite de commandes PowerShell avec élévation de privilèges et exécutez la commande suivante :

   Confirm-SecureBootUEFI
   

   Vérifiez que la valeur true est retournée.

4. Exécutez la commande PowerShell suivante:

   manage-bde -protectors -get $env:systemdrive
   

   Vérifiez que le lecteur est protégé par LE FORMAT 7.

   PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
   BitLocker Drive Encryption: Configuration Tool version 10.0.22526
   Copyright (C) 2013 Microsoft Corporation. All rights reserved.
   
   Volume C: [OSDisk]
   All Key Protectors
   
       TPM:
        ID: <GUID>
       PCR Validation Profile:
       7, 11
       (Uses Secure Boot for integrity validation)
   

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSSv2 pour les problèmes liés au déploiement.