Windows Server 將 PCR7 設定顯示為「無法系結」

本文介紹 msinfo32 中的系結 不可能 發生的問題,以及問題的原因。 這同時適用于 Windows 用戶端和 Windows Server。

msinfo32 中的 PCR7 組態

請試想下列案例:

  • Windows Server 安裝在已啟用安全開機的平臺上。
  • 您可以在整合可延伸韌體介面 (UEFI) 中啟用信賴平臺模組 (TPM) 2.0。
  • 您開啟 BitLocker。
  • 您會安裝晶片組驅動程式,並更新最新的 Microsoft 每月匯總。
  • 您也會執行 tpm.msc ,以確定 TPM 狀態沒問題。 狀態會顯示 TPM 已可供使用

在此案例中,當您執行 msinfo32 來檢查 PCR7 組態時,它會顯示為 無法系結

非預期訊息的原因

BitLocker 只接受 Microsoft Windows PCA 2011 憑證,以用來簽署將在開機期間驗證的早期開機元件。 開機程式碼上出現的任何其他簽章都會導致 BitLocker 使用 TPM 設定檔 0、2、4、11,而不是 7、11。 在某些情況下,二進位檔會使用 UEFI CA 2011 憑證簽署,這會防止您將 BitLocker 系結至 PCR7。

注意事項

UEFI CA 可用來簽署協力廠商應用程式、選項 ROM,甚至是協力廠商開機載入器,這些載入器可能會載入惡意 (UEFI CA 簽署的) 程式碼。 在此情況下,BitLocker 會切換至 PCR 0、2、4、11。 在 PCR 0,2,4,11 的情況下,Windows 會測量確切的二進位雜湊,而不是 CA 憑證。

不論使用 TPM 設定檔 0、2、4、11 或設定檔 7、11,Windows 都是安全的。

其他資訊

若要檢查您的裝置是否符合需求:

  1. 開啟提升許可權的命令提示字元,然後執行 msinfo32 命令。

  2. [系統摘要]中,確認 BIOS 模式UEFI,且 PCR7 組態系結

  3. 開啟提升許可權的 PowerShell 命令提示字元,然後執行下列命令:

    Confirm-SecureBootUEFI
    

    確認傳回 True 的值。

  4. 請執行下列 PowerShell 命令:

    manage-bde -protectors -get $env:systemdrive
    

    確認磁片磁碟機受到 PCR 7 保護。

    PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
    BitLocker Drive Encryption: Configuration Tool version 10.0.22526
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    
    Volume C: [OSDisk]
    All Key Protectors
    
        TPM:
         ID: <GUID>
        PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)