PCR の変更を追跡するために、測定されたブート ログをデコードする

  • [アーティクル]

プラットフォーム構成レジスタ (PCR) は、トラステッド プラットフォーム モジュール (TPM) 内のメモリの場所です。 BitLocker とその関連テクノロジは、特定の PCR 構成に依存します。 さらに、PCR の特定の変更により、デバイスまたはコンピューターが BitLocker 回復モードに入る可能性があります。

PCR の変更を追跡し、変更されたタイミングを特定することで、発生した問題や、デバイスまたはコンピューターが BitLocker 回復モードに入った理由について分析情報を得ることができます。 測定ブート ログには、PCR の変更やその他の情報が記録されます。 これらのログは、*C:\Windows\Logs\MeasuredBoot* フォルダーにあります。

この記事では、これらのログのデコードに使用できるツールについて説明します。

  • TBSLogGenerator.exe
  • PCPTool.exe

測定ブートと PCR の詳細については、次の記事を参照してください。

TBSLogGenerator.exe を使用して測定されたブート ログをデコードする

TBSLogGenerator.exe を使用して、Windows から収集された測定ブート ログをデコードします。 TBSLogGenerator.exe は、次のシステムにインストールできます。

  • Windows Server 2016以降を実行しており、TPM が有効になっているコンピューター
  • Windows Server 2016以降を実行しており、仮想 TPM を使用している Hyper-V で実行されている Gen 2 仮想マシン。

ツールをインストールするには、次の手順に従います。

  1. Windows ハードウェア ラボ キットから Windows ハードウェア ラボ キットをダウンロードします。

  2. ダウンロード後、インストールのダウンロード先のパスからインストール ファイルを実行します。

  3. 既定のインストール パスをそのまま使用します。

    Windows ハードウェア ラボ キットのインストール ウィザードの [場所の指定] ページのスクリーンショット。

  4. [ インストールする機能の選択] で、[ Windows ハードウェア ラボ キット - コントローラー + Studio] を選択します。

    Windows ハードウェア ラボ キットのインストール ウィザードの [機能の選択] ページのスクリーンショット。

  5. インストールを完了します。

TBSLogGenerator.exeを使用するには、次の手順に従います。

  1. インストールが完了したら、管理者特権のコマンド プロンプト ウィンドウを開き、次のフォルダーに移動します。

    C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\NTTEST\BASETEST\ngscb

    このフォルダーには、 TBSLogGenerator.exe ファイルが含まれています。

    TBSLogGenerator.exe ファイルのプロパティと場所のスクリーンショット。

  2. 次のコマンドを実行します。

    TBSLogGenerator.exe -LF <LogFolderName>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.txt

    ここで、変数は次の値を表します。

    • <LogFolderName> = デコードするファイルを含むフォルダーの名前
    • <LogFileName> = デコードするファイルの名前
    • <DestinationFolderName> = デコードされたテキスト ファイルのフォルダーの名前
    • <DecodeedFileName> = デコードされたテキスト ファイルの名前

    たとえば、次の図は、Windows 10 コンピューターから収集され、C:\MeasuredBoot\ フォルダーに格納された測定ブート ログを示しています。 この図は、コマンド プロンプト ウィンドウと、 0000000005-0000000000.log ファイルをデコードするコマンドも示しています。

    TBSLogGenerator.exe -LF C:\MeasuredBoot\0000000005-0000000000.log > C:\MeasuredBoot\0000000005-0000000000.txt

    TBSLogGenerator の使用方法の例を示すコマンド プロンプト ウィンドウのスクリーンショット。

    コマンドは、指定した名前を使用するテキスト ファイルを生成します。 この例では、ファイルは 0000000005-0000000000.txtです。 ファイルは、元の .log ファイルと同じフォルダーにあります。

    TBSLogGenerator によって生成されるテキスト ファイルを示す Windows エクスプローラー ウィンドウのスクリーンショット。

    このテキスト ファイルの内容は、次のテキストのようになります。

    NotePad に示すように、テキスト ファイルの内容のスクリーンショット。

    PCR 情報を見つけるには、ファイルの末尾に移動します。

    最後に PCR 情報を示すテキスト ファイルのスクリーンショット。

PCPTool.exe を使用して測定されたブート ログをデコードする

注:

PCPTool.exe は Visual Studio ソリューションですが、ツールを使用する前に実行可能ファイルをビルドする必要があります。

PCPTool.exe は、 TPM プラットフォーム Crypto-Provider ツールキットの一部です。 このツールは、測定ブート ログ ファイルをデコードし、XML ファイルに変換します。

PCPTool.exeをダウンロードしてインストールするには、[ツールキット] ページに移動し、[ダウンロード] を選択し、指示に従います。

ログをデコードするには、次のコマンドを実行します。

PCPTool.exe decodelog <LogFolderPath>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.xml

ここで、変数は次の値を表します。

  • <LogFolderPath> = デコードするファイルを含むフォルダーへのパス
  • <LogFileName> = デコードするファイルの名前
  • <DestinationFolderName> = デコードされたテキスト ファイルのフォルダーの名前
  • <DecodeedFileName> = デコードされたテキスト ファイルの名前

XML ファイルの内容は、次の XML のようになります。

PCPTool の使用方法の例を示すコマンド プロンプト ウィンドウのスクリーンショット。