Windows Server PCR7 yapılandırmasını "Bağlama mümkün değil" olarak gösteriyor

Bu makalede msinfo32'de Bağlama mümkün değil sorunu ve sorunun nedeni tanıtilmektedir. Bu, hem Windows istemcileri hem de Windows Server için geçerlidir.

msinfo32'de PCR7 Yapılandırması

Aşağıdaki senaryoyu değerlendirin:

• Windows Server, güvenli bir önyükleme özellikli platforma yüklenir.
• Birleşik Genişletilebilir Üretici Yazılımı Arabirimi'nde (UEFI) Güvenilen Platform Modülü (TPM) 2.0'ı etkinleştirirsiniz.
• BitLocker'u açarsınız.
• Yonga kümesi sürücülerini yükler ve en son Microsoft Aylık Paketi'ni güncelleştirirsiniz.
• TPM durumunun iyi olduğundan emin olmak için tpm.msc dosyasını da çalıştırırsınız. Durum, TPM kullanıma hazır olarak görüntülenir.

Bu senaryoda, PCR7 Yapılandırmasını denetlemek için msinfo32'yi çalıştırdığınızda Bağlama mümkün değil olarak görüntülenir.

Beklenmeyen iletinin nedeni

BitLocker yalnızca önyükleme sırasında doğrulanacak erken önyükleme bileşenlerini imzalamak için kullanılacak Microsoft Windows PCA 2011 sertifikasını kabul eder. Önyükleme kodunda bulunan diğer tüm imzalar BitLocker'ın 7, 11 yerine TPM profili 0, 2, 4, 11'i kullanmasına neden olur. Bazı durumlarda ikili dosyalar UEFI CA 2011 sertifikasıyla imzalanır ve bu da BitLocker'ı PCR7'ye bağlamanızı engeller.

Not

UEFI CA, üçüncü taraf uygulamaları, Seçenek ROM'larını ve hatta kötü amaçlı (UEFI CA imzalı) kod yükleyebilen üçüncü taraf önyükleme yükleyicilerini imzalamak için kullanılabilir. Bu durumda, BitLocker PCR 0, 2, 4, 11'e geçer. PCR 0,2,4,11 örneklerinde Windows, CA sertifikası yerine tam ikili karmaları ölçer.

Windows, TPM profili 0, 2, 4, 11 veya profil 7, 11'i kullanmadan güvenlidir.

Daha Fazla Bilgi

Cihazınızın gereksinimleri karşılayıp karşılamadığını denetlemek için:

1. Yükseltilmiş bir komut istemi açın ve komutunu çalıştırın msinfo32 .

2. Sistem Özeti'nde BIOS Modunun UEFI, PCR7 Yapılandırmasının ise Bağlı olduğunu doğrulayın.

3. Yükseltilmiş bir PowerShell komut istemi açın ve aşağıdaki komutu çalıştırın:

   Confirm-SecureBootUEFI
   

   True değerinin döndürüldüğünü doğrulayın.

4. Aşağıdaki PowerShell komutunu çalıştırın:

   manage-bde -protectors -get $env:systemdrive
   

   Sürücünün PCR 7 tarafından korunduğunu doğrulayın.

   PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
   BitLocker Drive Encryption: Configuration Tool version 10.0.22526
   Copyright (C) 2013 Microsoft Corporation. All rights reserved.
   
   Volume C: [OSDisk]
   All Key Protectors
   
       TPM:
        ID: <GUID>
       PCR Validation Profile:
       7, 11
       (Uses Secure Boot for integrity validation)
   

Veri toplama

Microsoft destek ekibinden yardım almaya ihtiyacınız varsa Dağıtımla ilgili sorunlar için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgi toplamanızı öneririz.