Windows Server mostra a configuração do PCR7 como "Não é possível associar"

Este artigo apresenta o problema de associação não possível em msinfo32 e a causa do problema. Isso se aplica a clientes Windows e Windows Server.

Configuração de PCR7 em msinfo32

Considere o cenário a seguir.

• O Windows Server é instalado em uma plataforma habilitada para inicialização segura.
• Você habilita o TPM (Trusted Platform Module) 2.0 na UEFI (Unified Extensible Firmware Interface).
• Você ativa o BitLocker.
• Você instala os drivers do chipset e atualiza o pacote cumulativo mensal mais recente da Microsoft.
• Você também executa tpm.msc para garantir que o status do TPM esteja correto. O status é exibido O TPM está pronto para uso.

Nesse cenário, quando você executa msinfo32 para verificar a configuração do PCR7, ela é exibida como Associação não possível.

Causa da mensagem inesperada

O BitLocker aceita apenas o certificado do Microsoft Windows PCA 2011 a ser usado para assinar componentes de inicialização antecipada que serão validados durante a inicialização. Qualquer outra assinatura presente no código de inicialização fará com que o BitLocker use o perfil TPM 0, 2, 4, 11 em vez de 7, 11. Em alguns casos, os binários são assinados com o certificado UEFI CA 2011, o que impedirá que você associe o BitLocker ao PCR7.

Observação

A UEFI CA pode ser usada para assinar aplicativos de terceiros, ROMs de opção ou até mesmo carregadores de inicialização de terceiros que podem carregar código malicioso (UEFI CA assinado). Nesse caso, o BitLocker alterna para PCR 0, 2, 4, 11. Nos casos de PCR 0,2,4,11, Windows mede hashes binários exatos em vez do certificado CA.

O Windows é seguro independentemente de usar o perfil TPM 0, 2, 4, 11 ou o perfil 7, 11.

Mais informações

Para verificar se o dispositivo atende aos requisitos:

1. Abra um prompt de comando com privilégios elevados e execute o msinfo32 comando.

2. Em Resumo do sistema, verifique se o modo BIOS é UEFI e se a configuração do PCR7 está vinculada.

3. Abra um prompt de comando do PowerShell com privilégios elevados e execute o seguinte comando:

   Confirm-SecureBootUEFI
   

   Verifique se o valor de True é retornado.

4. Execute o seguinte comando do PowerShell:

   manage-bde -protectors -get $env:systemdrive
   

   Verifique se a unidade está protegida pelo PCR 7.

   PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
   BitLocker Drive Encryption: Configuration Tool version 10.0.22526
   Copyright (C) 2013 Microsoft Corporation. All rights reserved.
   
   Volume C: [OSDisk]
   All Key Protectors
   
       TPM:
        ID: <GUID>
       PCR Validation Profile:
       7, 11
       (Uses Secure Boot for integrity validation)
   

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas relacionados à implantação.