Windows Server toont pcR7-configuratie als 'Binding niet mogelijk'
In dit artikel maakt u kennis met het niet mogelijk bindingsprobleem in msinfo32 en de oorzaak van het probleem. Dit geldt voor zowel Windows-clients als Windows Server.
PCR7-configuratie in msinfo32
Bekijk het volgende scenario:
- Windows Server is geïnstalleerd op een beveiligd platform voor opstarten.
- U schakelt Trusted Platform Module (TPM) 2.0 in in Unified Extensible Firmware Interface (UEFI).
- U schakelt BitLocker in.
- U installeert stuurprogramma's voor de chipset en werkt het meest recente Microsoft Monthly Rollup bij.
- U voert ook tpm.msc uit om ervoor te zorgen dat de TPM-status in orde is. De status geeft aan dat de TPM gereed is voor gebruik.
In dit scenario, wanneer u msinfo32 uitvoert om de PCR7-configuratie te controleren, wordt deze weergegeven als Binding niet mogelijk.
Oorzaak van het onverwachte bericht
BitLocker accepteert alleen het Microsoft Windows PCA 2011-certificaat dat moet worden gebruikt om vroege opstartonderdelen te ondertekenen die tijdens het opstarten worden gevalideerd. Elke andere handtekening die aanwezig is in de opstartcode, zorgt ervoor dat BitLocker TPM-profiel 0, 2, 4, 11 gebruikt in plaats van 7, 11. In sommige gevallen worden de binaire bestanden ondertekend met het UEFI CA 2011-certificaat, waardoor u BitLocker kunt binden aan PCR7.
Notitie
UEFI CA kan worden gebruikt voor het ondertekenen van toepassingen van derden, optie-ROMs of zelfs opstartlaadders van derden die schadelijke (UEFI CA ondertekende) code kunnen laden. In dit geval schakelt BitLocker over naar PCR 0, 2, 4, 11. In de gevallen van PCR 0,2,4,11 meet Windows exacte binaire hashes in plaats van het CA-certificaat.
Windows is veilig, ongeacht het gebruik van TPM-profiel 0, 2, 4, 11 of profiel 7, 11.
Meer informatie
Controleren of uw apparaat voldoet aan de vereisten:
Open een opdrachtprompt met verhoogde bevoegdheid en voer de
msinfo32
opdracht uit.Controleer in systeemoverzicht of de BIOS-modus UEFI is en of de PCR7-configuratie afhankelijk is.
Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer de volgende opdracht uit:
Confirm-SecureBootUEFI
Controleer of de waarde waar is geretourneerd.
Voer de volgende PowerShell-opdracht uit:
manage-bde -protectors -get $env:systemdrive
Controleer of het station is beveiligd door PCR 7.
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
Gegevens verzamelen
Als u hulp nodig hebt van Microsoft-ondersteuning, raden we u aan de informatie te verzamelen door de stappen te volgen die worden vermeld in Informatie verzamelen met behulp van TSS voor implementatiegerelateerde problemen.