本文介绍 msinfo32 中的绑定不可能 问题和问题的原因。 这适用于 Windows 客户端和 Windows Server。
msinfo32 中的RF7 配置
假设出现了下面这种情景:
- Windows Server 安装在启用了安全启动的平台上。
- 在统一可扩展固件接口(UEFI)中启用受信任的平台模块 (TPM) 2.0。
- 打开 BitLocker。
- 安装芯片集驱动程序并更新最新的Microsoft月度汇总。
- 还可以运行 tpm.msc ,确保 TPM 状态正常。 状态显示 TPM 已准备好使用。
在此方案中,当你运行 msinfo32 来检查RF7 配置时,它显示为 “绑定”不可行。
意外消息的原因
BitLocker 仅接受Microsoft Windows PCA 2011 证书,用于对启动期间验证的早期启动组件进行签名。 启动代码上存在的任何其他签名都会导致 BitLocker 使用 TPM 配置文件 0、2、4、11 而不是 7、11。 在某些情况下,二进制文件使用 UEFI CA 2011 证书进行签名,这会阻止将 BitLocker 绑定到RF7。
注意
UEFI CA 可用于对可以加载恶意(UEFI CA 已签名)代码的第三方应用程序、Option ROM 甚至第三方启动加载程序进行签名。 在本例中,BitLocker 切换到RF 0、2、4、11。 在 0,2,4,11 的示例中,Windows 会测量确切的二进制哈希,而不是 CA 证书。
无论使用 TPM 配置文件 0、2、4、11 或配置文件 7、11,Windows 都是安全的。
详细信息
检查设备是否符合要求:
打开提升的命令提示符,并运行
msinfo32该命令。在系统摘要中,验证 BIOS 模式是否为 UEFI,并绑定了RF7 配置。
打开提升的 PowerShell 命令提示符,并运行以下命令:
Confirm-SecureBootUEFI验证是否返回 True 的值。
运行以下 PowerShell 命令:
manage-bde -protectors -get $env:systemdrive验证驱动器是否受RF 7 的保护。
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
数据收集
如果需要 Microsoft 支持方面的帮助,建议按照使用 TSS 针对与部署相关的问题收集信息中所述的步骤收集信息。