Windows Server 將PCR7 設定顯示為「無法系結」
本文介紹 msinfo32 中無法 系結的問題,以及問題的原因。 這同時適用於 Windows 用戶端和 Windows Server。
msinfo32 中的PCR7 設定
試想以下情況:
- Windows Server 安裝在已啟用安全開機的平臺上。
- 您可以在整合可擴展韌體介面 (UEFI) 中啟用信賴平臺模組 (TPM) 2.0。
- 您開啟 BitLocker。
- 您安裝晶元組驅動程式,並更新最新的Microsoft每月匯總。
- 您也會執行 tpm.msc ,以確保 TPM 狀態正常。 狀態會顯示 TPM 已可供使用。
在此案例中,當您執行 msinfo32 來檢查PCR7 組態時,它會顯示為 無法系結。
非預期訊息的原因
BitLocker 只接受Microsoft Windows PCA 2011 憑證,以用來簽署將在開機期間驗證的早期開機組件。 開機程式代碼上出現的任何其他簽章都會造成 BitLocker 使用 TPM 配置檔 0、2、4、11,而不是 7、11。 在某些情況下,二進位檔會使用 UEFI CA 2011 憑證簽署,這可防止您將 BitLocker 系結至 PCR7。
注意
UEFI CA 可用來簽署第三方應用程式、選項 ROM,或甚至是可載入惡意 (UEFI CA 已簽署) 程式代碼的第三方開機載入器。 在此情況下,BitLocker 會切換至PCR 0、2、4、11。 在PCR 0,2,4,11的情況下,Windows 會測量確切的二進位哈希,而不是 CA 憑證。
不論使用 TPM 配置檔 0、2、4、11 或配置檔 7、11,Windows 都是安全的。
其他相關資訊
若要檢查您的裝置是否符合需求:
開啟提升許可權的命令提示字元,然後執行
msinfo32
命令。在 [系統摘要] 中,確認 BIOS 模式 為 UEFI,而 PCR7 組態 已 系結。
開啟提升權限的 PowerShell 命令提示字元,然後執行下列命令:
Confirm-SecureBootUEFI
確認傳回 True 的值。
執行下列 PowerShell 命令:
manage-bde -protectors -get $env:systemdrive
確認磁碟驅動器受到PCR 7的保護。
PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive BitLocker Drive Encryption: Configuration Tool version 10.0.22526 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [OSDisk] All Key Protectors TPM: ID: <GUID> PCR Validation Profile: 7, 11 (Uses Secure Boot for integrity validation)
資料收集
若您需要 Microsoft 支援,建議您按照使用 TSS 收集部署相關問題的資訊所述步驟來收集資訊。