Windows Server visar PCR7-konfigurationen som "Bindning går inte"

  • Artikel

Den här artikeln beskriver problemet med bindningen som inte är möjlig i msinfo32 och orsaken till problemet. Detta gäller både Windows-klienter och Windows Server.

PCR7-konfiguration i msinfo32

Tänk dig följande situation:

  • Windows Server är installerat på en säker startaktiverad plattform.
  • Du aktiverar Trusted Platform Module (TPM) 2.0 i Unified Extensible Firmware Interface (UEFI).
  • Du aktiverar BitLocker.
  • Du installerar drivrutiner för kretsuppsättningar och uppdaterar den senaste månatliga sammanslagningen av Microsoft.
  • Du kör även tpm.msc för att kontrollera att TPM-statusen är bra. Statusen visar Att TPM är redo att användas.

I det här scenariot, när du kör msinfo32 för att kontrollera PCR7-konfigurationen, visas den som bindning inte möjligt.

Orsak till det oväntade meddelandet

BitLocker accepterar endast Microsoft Windows PCA 2011-certifikatet som ska användas för att signera tidiga startkomponenter som ska verifieras under starten. Alla andra signaturer som finns i startkoden gör att BitLocker använder TPM-profilen 0, 2, 4, 11 i stället för 7, 11. I vissa fall signeras binärfilerna med UEFI CA 2011-certifikatet, vilket hindrar dig från att binda BitLocker till PCR7.

Obs!

UEFI CA kan användas för att signera program från tredje part, alternativ-ROMs eller till och med startinläsare från tredje part som kan läsa in skadlig kod (UEFI CA signerad). I det här fallet växlar BitLocker till PCR 0, 2, 4, 11. När det gäller PCR 0,2,4,11 mäter Windows exakta binära hashvärden i stället för CA-certifikatet.

Windows är säkert oavsett om du använder TPM-profil 0, 2, 4, 11 eller profil 7, 11.

Mer information

Så här kontrollerar du om enheten uppfyller kraven:

  1. Öppna en upphöjd kommandotolk och kör msinfo32 kommandot .

  2. I Systemsammanfattning kontrollerar du att BIOS-läget är UEFI och att PCR7-konfigurationen är bunden.

  3. Öppna en upphöjd PowerShell-kommandotolk och kör följande kommando:

    Confirm-SecureBootUEFI

    Kontrollera att värdet true returneras.

  4. Kör följande PowerShell-kommando:

    manage-bde -protectors -get $env:systemdrive

    Kontrollera att enheten skyddas av PCR 7.

    PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
BitLocker Drive Encryption: Configuration Tool version 10.0.22526
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [OSDisk]
All Key Protectors

    TPM:
     ID: <GUID>
    PCR Validation Profile:
    7, 11
    (Uses Secure Boot for integrity validation)

Datainsamling

Om du behöver hjälp från Microsofts support rekommenderar vi att du samlar in informationen genom att följa stegen i Samla in information med hjälp av TSS för distributionsrelaterade problem.