Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono problem z niemożliwym powiązaniem w pliku msinfo32 i przyczyną problemu. Dotyczy to zarówno klientów systemu Windows, jak i systemu Windows Server.
Konfiguracja PCR7 w msinfo32
Rozważmy następujący scenariusz:
- System Windows Server jest instalowany na bezpiecznej platformie z obsługą rozruchu.
- Włączysz moduł TPM (Trusted Platform Module) 2.0 w ujednoliconym rozszerzalnym interfejsie układowym (UEFI).
- Włączasz funkcję BitLocker.
- Instalujesz sterowniki mikroukładu i aktualizujesz najnowszy pakiet zbiorczy miesięczny firmy Microsoft.
- Uruchom również polecenie tpm.msc , aby upewnić się, że stan modułu TPM jest odpowiedni. Zostanie wyświetlony stan Moduł TPM jest gotowy do użycia.
W tym scenariuszu po uruchomieniu polecenia msinfo32 w celu sprawdzenia konfiguracji PCR7 jest on wyświetlany jako Powiązanie nie jest możliwe.
Przyczyna nieoczekiwanego komunikatu
Funkcja BitLocker akceptuje tylko certyfikat PCA 2011 systemu Microsoft Windows, który ma być używany do podpisywania składników wczesnego rozruchu, które zostaną zweryfikowane podczas rozruchu. Każdy inny podpis obecny w kodzie rozruchowym spowoduje, że funkcja BitLocker będzie używać profilu MODUŁU TPM 0, 2, 4, 11 zamiast 7, 11. W niektórych przypadkach pliki binarne są podpisane przy użyciu certyfikatu UEFI CA 2011, co uniemożliwi powiązanie funkcji BitLocker z pcR7.
Uwaga
Urząd certyfikacji UEFI może służyć do podpisywania aplikacji innych firm, opcji ROM lub nawet modułów ładujących rozruchu innych firm, które mogą ładować złośliwy kod (podpisany przez urząd CERTYFIKACJI UEFI). W takim przypadku funkcja BitLocker przełącza się na PCR 0, 2, 4, 11. W przypadkach PCR 0,2,4,11 system Windows mierzy dokładne skróty binarne zamiast certyfikatu urzędu certyfikacji.
System Windows jest bezpieczny niezależnie od używania profilu MODUŁU TPM 0, 2, 4, 11 lub profilu 7, 11.
Więcej informacji
Aby sprawdzić, czy urządzenie spełnia wymagania:
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom
msinfo32polecenie.W obszarze Podsumowanie systemu sprawdź, czy tryb BIOS ma wartość UEFI, a konfiguracja PCR7 jest powiązana.
Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
Confirm-SecureBootUEFISprawdź, czy zwracana jest wartość True .
Uruchom następujące polecenie programu PowerShell:
manage-bde -protectors -get $env:systemdriveSprawdź, czy dysk jest chroniony przez pcR 7.
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
Zbieranie danych
Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w artykule Zbieranie informacji przy użyciu zestawu narzędzi TSS w przypadku problemów związanych z wdrożeniem.