次の方法で共有

ファームウェア更新後の BitLocker の確認

  • [アーティクル]

このテストでは、ファームウェアの更新プロセス中に、デバイスで回復が発生したかどうかを判断します。 ファームウェアを更新する前に BitLocker を有効にする必要があります。また、テストは、更新後に実行する必要があります。

テストの詳細

   
仕様
  • Device.DevFund.Firmware.UpdateDriverPackage
プラットフォーム
  • Windows 10、クライアント エディション (x86)
  • Windows 10、クライアント エディション (x64)
  • Windows Server 2016 (x64)
  • Windows 10、クライアント エディション (Arm64)
サポートされているリリース
  • Windows 10
  • Windows 10 バージョン 1511
  • Windows 10 Version 1607
  • Windows 10 Version 1703
  • Windows 10 バージョン 1709
  • Windows 10 バージョン 1803
  • Windows 10 Version 1809
  • Windows 10 バージョン 1903
  • Windows 10 への次の更新プログラム
予想される実行時間 (分) 5
カテゴリ シナリオ
タイムアウト (分) 300
再起動が必要です false
特別な構成が必要です false
Type automatic

 

その他のドキュメント

この機能領域のテストには、前提条件、セットアップ、トラブルシューティング情報など、次のトピックに記載されている追加のドキュメントが含まれている場合があります。

テストの実行

テストでは、合格または失敗が返されます。

トラブルシューティング

HLK テスト エラーの一般的なトラブルシューティングについては、「Windows HLK テストのエラーのトラブルシューティング」を参照してください。

テストが失敗した場合、このシステムで BitLocker 回復が発生したことを意味します。 2 か所のイベント ビューアー内で BitLocker イベントを収集してください。

  • [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [BitLocker-API] > [管理]

  • BitLocker で開始されたイベント ソースで Windows ログ > System をフィルター処理

イベントは、回復が発生した理由を詳しく示す必要があります。 BitLocker 回復の根本原因を理解して修正した後、BitLocker 回復が発生したことのないシステムでテストを実行すると、合格の結果が得られます。

システムによる整合性チェック (PCR[7]) にセキュア ブートが使用されている場合、診断情報の詳細については、次の手順を参照してください。

  1. 回復は、ファームウェア更新パッケージによってトリガーされる場合があります。

  2. システムに TPM2.0 が含まれる場合は、PCR [7] のサポートが必要です。 それ以外の場合、PCR [7] のサポートはオプションです。 ツリー EFI プロトコルの仕様には、PCR [7] のサポートに関する詳細が含まれます。

  3. 管理者特権でのコマンド プロンプトから次のコマンドを発行して、このシステムが PCR [7] をサポートし、BitLocker/デバイスの暗号化によって使用されているかどうかを確認します。

    Manage-bde -protectors -get %systemdrive%

    PCR 検証プロファイルに PCR 7、11 (整合性の検証にセキュア ブートを使用) が表示されている場合、システムは正しく構成されています。

    PCR 検証プロファイルに、BitLocker が整合性の検証にセキュア ブートを使用していることが示されていない場合 (たとえば、PCR 検証プロファイルに PCR 0、2、4、11 が示されている場合)、これは BitLocker が PCR [7] を使用できないことを示しており、次のいずれかのイベントが、イベント ログに記録される可能性があります。これは、[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [BitLocker-API] > [管理] にあります。

    • BitLocker はセキュア ブートを整合性確保の目的で使用することができません。これは無効になっているためです。

    • 必要な UEFI 変数 X が存在しないため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。

    • UEFI 変数 X を読み取ることができないため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。 エラー メッセージ: X。

    • 変数 X に対して想定される TCG ログ エントリが見つからないか無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。

    • OS ローダー機関に対して想定される TCG ログ エントリが見つからないか無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。

    • OS ローダー機関に対して想定される TCG ログ エントリの構造が無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。 イベントは EV_EFI_VARIABLE_AUTHORITY イベントであることが想定されます。 イベント データは、VariableName が EFI_IMAGE_SECURITY_DATABASEGUID に設定され、UnicodeName が "db" に設定された、EFI_VARIABLE_DATA 構造体としてフォーマットされている必要があります。

    • OS ローダー機関に対して想定される TCG ログ エントリが無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。 EFI_VARIABLE_DATA.VariableData フィールドのコンテンツは、SignatureOwner が GUID {77fa9abd-0359-4d32-bd60-28f4e78f784b} に設定された、EFI_SIGNATURE_DATA 構造体である必要があります (Microsoft)。

    • OS ローダー機関に対して想定される TCG ログ エントリが無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。 OS 機関イベントに含まれる EFI_SIGNATURE_DATA 構造体が、セキュア ブートの "db" 署名データベース内に見つかりませんでした。

    • ブート ローダーの署名を、信頼できる Microsoft ルート証明書にチェーンされた Windows 署名として検証できませんでした。このため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。

    • OS ローダー機関に対する TCG ログ エントリが無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。 OS 機関イベントの EFI_SIGNATURE_DATA 構造体に含まれる署名が、ブート ローダーの確認済み証明書チェーン内に見つかりませんでした。

    • 想定される TCG ログ区切りエントリが見つからないか無効であるため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。

    • PCR [7] 用 TCG ログ に無効なエントリが含まれているため、BitLocker はセキュア ブートを整合性確保の目的で使用することができません。

  4. 手順 3 の manage-bde コマンドで報告されたように、BitLocker/デバイスの暗号化によって PCR [7] が使用されている場合、回復が発生すると、Windows ログ> システム内には、セキュア ブート構成が予期せず変更されたことを示す BitLocker-Driver イベント (イベント ID 24658) が表示されます。 この問題を診断するには、[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [BitLocker-API] > [管理] 内で 2 つの最新の BitLocker-API イベント (イベント ID 817) を見つけます。 一方の 817 イベントのタイム スタンプはイベント 24658 より前で、もう一方の 817 イベントのタイム スタンプは、後になっているはずです。 イベント 817 がログに記録されるのは、PCR [7] が使用されている TPM へのキーを BitLocker が保護するときです。 [詳細] タブ内で、このイベントがログに記録されるブート セッションの PCR [7] 値を確認できます。 再起動中にシステムで回復が発生した場合、PCR [7] の値は、この 2 つのブート セッション間で異なるはずです。 この 2 つの 817 イベントに記録された PCR [7] 値は、その違いを示します。 イベント 817 では、そのブート セッションの TCG ログも記録されます。 TCG ログを解析するツールがある場合は、PCR 拡張機能に関する詳細情報が表示されます。 このようなツールがない場合は、次の操作を行います。

    1. TBSLogGenerator.exe を、Windows HLK コントローラーからご自身のテスト コンピューターにコピーします。 これは %systemdrive%\Program Files (x86)\Windows Kits\8.1\Hardware Certification Kit\Tests\<architecture>\NTTEST\BASETEST\ngscb にあります。ここで、<architecture> は、ご自身のテスト コンピューターのアーキテクチャです。 amd64、x86、または Arm を指定できます。

      TBSLogGenerator.exe の実行時、TBSLogGenerator.exe は、PCR 値と TCG ログを、ブート セッション用に人が判読できる形式でダンプします。

    2. BitLocker 回復をトリガーする手順を繰り返します。 BitLocker 回復における両方のブート セッションについて、TBSLogGenerator.exe を使用して PCR 値と TCG ログをダンプします。

    3. 2 組の PCR 値と TCG ログを分析して、その違いを見つけます。