O Windows Server mostra a configuração do PCR7 como "Associação não possível"

Este artigo apresenta o problema Associação não possível no msinfo32 e a causa do problema. Isso se aplica aos clientes Windows e ao Windows Server.

Configuração do PCR7 no msinfo32

Considere o seguinte cenário:

• O Windows Server está instalado em uma plataforma segura habilitada para inicialização.
• Você habilita o TPM (Trusted Platform Module) 2.0 na UEFI (Unified Extensible Firmware Interface).
• Você ativa o BitLocker.
• Instale drivers de chipset e atualize o rollup mensal mais recente da Microsoft.
• Você também executa o tpm.msc para verificar se o TPM status está bem. O status exibe que o TPM está pronto para uso.

Nesse cenário, quando você executa o msinfo32 para marcar a Configuração do PCR7, ele é exibido como Associação não é possível.

Causa da mensagem inesperada

O BitLocker aceita apenas o certificado Microsoft Windows PCA 2011 para ser usado para assinar componentes de inicialização antecipada que serão validados durante a inicialização. Qualquer outra assinatura presente no código de inicialização fará com que o BitLocker use o perfil TPM 0, 2, 4, 11 em vez de 7, 11. Em alguns casos, os binários são assinados com o certificado UEFI CA 2011, o que impedirá que você vincule o BitLocker ao PCR7.

Observação

A AC UEFI pode ser usada para assinar aplicativos de terceiros, ROMs de opção ou até mesmo carregadores de inicialização de terceiros que podem carregar código mal-intencionado (assinado pela UEFI CA). Nesse caso, o BitLocker muda para PCR 0, 2, 4, 11. Nos casos de PCR 0,2,4,11, o Windows mede hashes binários exatos em vez do certificado de AC.

O Windows é seguro independentemente do uso do perfil TPM 0, 2, 4, 11 ou perfil 7, 11.

Mais informações

Para marcar se seu dispositivo atende aos requisitos:

1. Abra um prompt de comando elevado e execute o msinfo32 comando.

2. No Resumo do Sistema, verifique se o modo BIOS é UEFI e a Configuração do PCR7 está vinculada.

3. Abra um prompt de comando do PowerShell elevado e execute o seguinte comando:

   Confirm-SecureBootUEFI
   

   Verifique se o valor de True é retornado.

4. Execute o seguinte comando do PowerShell:

   manage-bde -protectors -get $env:systemdrive
   

   Verifique se a unidade está protegida pelo PCR 7.

   PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
   BitLocker Drive Encryption: Configuration Tool version 10.0.22526
   Copyright (C) 2013 Microsoft Corporation. All rights reserved.
   
   Volume C: [OSDisk]
   All Key Protectors
   
       TPM:
        ID: <GUID>
       PCR Validation Profile:
       7, 11
       (Uses Secure Boot for integrity validation)
   

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas relacionados à implantação.