Windows Server 將 PCR7 設定顯示為「無法系結」

本文介紹 msinfo32 中的系結 不可能 發生的問題，以及問題的原因。 這同時適用於 Windows 用戶端和 Windows Server。

msinfo32 中的 PCR7 組態

請試想下列案例：

• Windows Server 安裝在已啟用安全開機的平臺上。
• 您可以在整合可擴展韌體介面 (UEFI) 中啟用信賴平臺模組 (TPM) 2.0。
• 您開啟 BitLocker。
• 您會安裝晶元組驅動程式，並更新最新的 Microsoft 每月匯總。
• 您也會執行 tpm.msc ，以確定 TPM 狀態沒問題。 狀態會顯示 TPM 已可供使用。

在此案例中，當您執行 msinfo32 來檢查 PCR7 組態時，它會顯示為 無法繫結。

非預期訊息的原因

BitLocker 只接受 Microsoft Windows PCA 2011 憑證，以用來簽署將在開機期間驗證的早期開機組件。 開機程式代碼上出現的任何其他簽章都會導致 BitLocker 使用 TPM 配置檔 0、2、4、11，而不是 7、11。 在某些情況下，二進制檔會使用 UEFI CA 2011 憑證簽署，這會防止您將 BitLocker 系結至 PCR7。

注意事項

UEFI CA 可用來簽署第三方應用程式、選項 ROM，甚至是第三方開機載入器，這些載入器可能會載入惡意 (UEFI CA 簽署的) 程式代碼。 在此情況下，BitLocker 會切換至 PCR 0、2、4、11。 在 PCR 0,2,4,11 的情況下，Windows 會測量確切的二進位哈希，而不是 CA 憑證。

不論使用 TPM 配置檔 0、2、4、11 或配置檔 7、11，Windows 都是安全的。

其他相關資訊

若要檢查您的裝置是否符合需求：

1. 開啟提升許可權的命令提示字元，然後執行 msinfo32 命令。

2. 在 [系統摘要] 中，確認 BIOS 模式 為 UEFI，且 PCR7 組態 已 系結。

3. 開啟提升權限的 PowerShell 命令提示字元，然後執行下列命令：

   Confirm-SecureBootUEFI
   

   確認傳回 True 的值。

4. 請執行下列 PowerShell 命令：

   manage-bde -protectors -get $env:systemdrive
   

   確認磁碟驅動器受到 PCR 7 保護。

   PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
   BitLocker Drive Encryption: Configuration Tool version 10.0.22526
   Copyright (C) 2013 Microsoft Corporation. All rights reserved.
   
   Volume C: [OSDisk]
   All Key Protectors
   
       TPM:
        ID: <GUID>
       PCR Validation Profile:
       7, 11
       (Uses Secure Boot for integrity validation)
   

資料收集

若您需要 Microsoft 支援，建議您按照使用 TSS 收集部署相關問題的資訊所述步驟來收集資訊。