この記事では、msinfo32 の Binding が不可能 問題と問題の原因について説明します。 これは、Windows クライアントと Windows Server の両方に適用されます。
msinfo32 での PCR7 構成
以下のシナリオについて考えてみます。
- Windows Server は、セキュア ブート対応プラットフォームにインストールされます。
- Unified Extensible Firmware Interface (UEFI) でトラステッド プラットフォーム モジュール (TPM) 2.0 を有効にします。
- BitLocker を有効にします。
- チップセット ドライバーをインストールし、最新の Microsoft 月次ロールアップを更新します。
- また、 tpm.msc を実行して、TPM の状態が正常であることを確認します。 状態 TPM を使用する準備ができましたが表示されます。
このシナリオでは、 msinfo32 を実行して PCR7 構成を確認すると、 Binding が不可能として表示されます。
予期しないメッセージの原因
BitLocker は、起動時に検証される初期ブート コンポーネントの署名に使用される Microsoft Windows PCA 2011 証明書のみを受け入れます。 ブート コードに存在するその他の署名により、BitLocker は 7、11 ではなく TPM プロファイル 0、2、4、11 を使用します。 場合によっては、バイナリが UEFI CA 2011 証明書で署名されるため、BitLocker を PCR7 にバインドできなくなります。
Note
UEFI CA を使用して、悪意のある (UEFI CA 署名済み) コードを読み込む可能性があるサードパーティ製のアプリケーション、オプション ROM、さらにはサードパーティのブート ローダーに署名できます。 この場合、BitLocker は PCR 0、2、4、11 に切り替えます。 PCR 0,2,4,11 の場合、Windows は CA 証明書の代わりに正確なバイナリ ハッシュを測定します。
Windows は、TPM プロファイル 0、2、4、11、またはプロファイル 7、11 の使用に関係なくセキュリティで保護されます。
詳細
デバイスが要件を満たしているかどうかを確認するには:
管理者特権のコマンド プロンプトを開き、
msinfo32コマンドを実行します。System Summary で、BIOS モードが UEFI であり、PCR7 構成が Bound であることを確認します。
管理者特権の PowerShell コマンド プロンプトを開き、次のコマンドを実行します。
Confirm-SecureBootUEFITrue の値が返されることを確認します。
次の PowerShell コマンドを実行します。
manage-bde -protectors -get $env:systemdriveドライブが PCR 7 で保護されていることを確認します。
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
データ コレクション
Microsoft サポートの支援が必要な場合は、「展開関連の問題について TSS を使用して情報を収集する」に記載している手順に従って情報を収集することをお勧めします。