Windows Server mostra la configurazione di PCR7 come "Binding non possibile"
Questo articolo presenta il problema binding non possibile in msinfo32 e la causa del problema. Questo vale sia per i client Windows che per Windows Server.
Configurazione di PCR7 in msinfo32
Prendi in considerazione lo scenario seguente:
- Windows Server è installato in una piattaforma protetta abilitata per l'avvio.
- Si abilita Trusted Platform Module (TPM) 2.0 in Unified Extensible Firmware Interface (UEFI).
- Si attiva BitLocker.
- È possibile installare i driver del chipset e aggiornare la versione più recente dell'aggiornamento cumulativo mensile microsoft.
- Eseguire anche tpm.msc per assicurarsi che lo stato del TPM sia corretto. Lo stato visualizza Il TPM è pronto per l'uso.
In questo scenario, quando si esegue msinfo32 per controllare la configurazione di PCR7, viene visualizzato come binding non possibile.
Causa del messaggio imprevisto
BitLocker accetta solo il certificato PCA 2011 di Microsoft Windows da usare per firmare i componenti di avvio anticipato che verranno convalidati durante l'avvio. Qualsiasi altra firma presente nel codice di avvio causerà l'uso del profilo TPM 0, 2, 4, 11 anziché 7, 11. In alcuni casi, i file binari vengono firmati con il certificato UEFI CA 2011, che impedirà di associare BitLocker a PCR7.
Nota
L'autorità di certificazione UEFI può essere usata per firmare applicazioni di terze parti, rom option o anche caricatori di avvio di terze parti che possono caricare codice dannoso (firmato dalla CA UEFI). In questo caso, BitLocker passa a PCR 0, 2, 4, 11. Nei casi di PCR 0,2,4,11, Windows misura gli hash binari esatti anziché il certificato DELLA CA.
Windows è sicuro indipendentemente dall'uso del profilo TPM 0, 2, 4, 11 o profilo 7, 11.
Ulteriori informazioni
Per verificare se il dispositivo soddisfa i requisiti:
Aprire un prompt dei comandi con privilegi elevati ed eseguire il
msinfo32
comando .In System Summary (Riepilogo sistema) verificare che la modalità BIOS sia UEFI e PCR7 Configuration is Bound (Configurazione PCR7).
Aprire un prompt dei comandi di PowerShell con privilegi elevati ed eseguire il comando seguente:
Confirm-SecureBootUEFI
Verificare che venga restituito il valore true.
Eseguire il comando PowerShell seguente:
manage-bde -protectors -get $env:systemdrive
Verificare che l'unità sia protetta da PCR 7.
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
Raccolta dati
Se è necessaria l'assistenza del supporto tecnico Microsoft, si consiglia di raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni utilizzando TSS per le questioni relative alla distribuzione.