Windows Server affiche la configuration DE RPC7 comme « Liaison non possible »
Cet article présente le problème de liaison non possible dans msinfo32 et la cause du problème. Cela s’applique aux clients Windows et à Windows Server.
Configuration DE RPC7 dans msinfo32
Examinez le cas suivant :
- Windows Server est installé sur une plateforme sécurisée avec démarrage.
- Vous activez le module de plateforme sécurisée (TPM) 2.0 dans l’interface UEFI (Unified Extensible Firmware Interface).
- Vous activez BitLocker.
- Vous installez des pilotes de microprogramme et mettez à jour le dernier correctif cumulatif mensuel Microsoft.
- Vous exécutez également tpm.msc pour vous assurer que l’état du module de plateforme sécurisée est correct. L’état affiche le module TPM prêt à être utilisé.
Dans ce scénario, lorsque vous exécutez msinfo32 pour vérifier la configuration DE RPC7, elle s’affiche en tant que liaison non possible.
Cause du message inattendu
BitLocker accepte uniquement le certificat Microsoft Windows PCA 2011 à utiliser pour signer les composants de démarrage anticipés qui seront validés pendant le démarrage. Toute autre signature présente sur le code de démarrage entraîne l’utilisation du profil TPM 0, 2, 4, 11 au lieu de 7, 11. Dans certains cas, les fichiers binaires sont signés avec le certificat UEFI CA 2011, ce qui vous empêchera de lier BitLocker à PCR7.
Note
L’autorité de certification UEFI peut être utilisée pour signer des applications tierces, des roms d’option ou même des chargeurs de démarrage tiers qui peuvent charger du code malveillant (UEFI CA signé). Dans ce cas, BitLocker bascule vers LE RPC 0, 2, 4, 11. Dans les cas de RPC 0,2,4,11, Windows mesure les hachages binaires exacts au lieu du certificat d’autorité de certification.
Windows est sécurisé, indépendamment de l’utilisation du profil TPM 0, 2, 4, 11 ou profil 7, 11.
Plus d’informations
Pour vérifier si votre appareil répond aux exigences :
Ouvrez une invite de commandes avec élévation de privilèges et exécutez la
msinfo32
commande.Dans Résumé du système, vérifiez que le mode BIOS est UEFI et que la configuration DE RPC7 est liée.
Ouvrez une invite de commandes PowerShell avec élévation de privilèges et exécutez la commande suivante :
Confirm-SecureBootUEFI
Vérifiez que la valeur true est retournée.
Exécutez la commande PowerShell suivante :
manage-bde -protectors -get $env:systemdrive
Vérifiez que le lecteur est protégé par RPC 7.
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
Collecte de données
Si vous avez besoin de l’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes liés au déploiement.