Поделиться через


Windows Server отображает конфигурацию PCR7 как "Не удается привязать"

В этой статье описана проблема привязки в msinfo32 и причина проблемы. Это относится как к клиентам Windows, так и к Windows Server.

Конфигурация PCR7 в msinfo32

Рассмотрим следующий сценарий:

  • Windows Server устанавливается на безопасной платформе с поддержкой загрузки.
  • Вы включите доверенный модуль платформы (TPM) 2.0 в едином расширяемом интерфейсе встроенного ПО (UEFI).
  • Вы включите BitLocker.
  • Вы устанавливаете драйверы наборов микросхем и обновляете последний накопительный пакет Microsoft Monthly Rollup.
  • Вы также запустите tpm.msc , чтобы убедиться, что состояние доверенного платформенного модуля хорошо. В состоянии отображается , что TPM готов к использованию.

В этом сценарии при запуске msinfo32 для проверки конфигурации PCR7 оно отображается как невозможное.

Причина непредвиденного сообщения

BitLocker принимает только сертификат Microsoft Windows PCA 2011 для подписывания компонентов ранней загрузки, которые будут проверены во время загрузки. Любая другая подпись, представленная в коде загрузки, приведет к тому, что BitLocker будет использовать профиль TPM 0, 2, 4, 11 вместо 7, 11. В некоторых случаях двоичные файлы подписаны с сертификатом UEFI CA 2011, что позволит предотвратить привязку BitLocker к PCR7.

Примечание.

ЦС UEFI можно использовать для подписи сторонних приложений, параметров РОМ или даже сторонних загрузчиков, которые могут загружать вредоносный код (подписанный ЦС UEFI). В этом случае BitLocker переключается на PCR 0, 2, 4, 11. В случаях PCR 0,2 4 11 Windows измеряет точные двоичные хэши вместо сертификата ЦС.

Windows безопасна независимо от использования профиля TPM 0, 2, 4, 11 или профиля 7, 11.

Дополнительные сведения

Чтобы проверить соответствие устройства требованиям, выполните следующие действия.

  1. Откройте командную строку с повышенными привилегиями и выполните msinfo32 команду.

  2. В системной сводке убедитесь, что режим BIOS имеет значение UEFI, а конфигурация PCR7 привязана.

  3. Откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду:

    Confirm-SecureBootUEFI
    

    Убедитесь, что возвращается значение True .

  4. Выполните следующую команду PowerShell:

    manage-bde -protectors -get $env:systemdrive
    

    Убедитесь, что диск защищен PCR 7.

    PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
    BitLocker Drive Encryption: Configuration Tool version 10.0.22526
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    
    Volume C: [OSDisk]
    All Key Protectors
    
        TPM:
         ID: <GUID>
        PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)
    

сбор данных

Если вам нужна помощь службы поддержки Microsoft, мы рекомендуем собирать информацию путем выполнения действий, описанных в разделе Сбор информации с помощью TSS для решения проблем, связанных с развертыванием.