PCR の変更を追跡するために、測定されたブート ログをデコードする
プラットフォーム構成レジスタ (PCR) は、トラステッド プラットフォーム モジュール (TPM) 内のメモリの場所です。 BitLocker とその関連テクノロジは、特定の PCR 構成に依存します。 さらに、PCR の特定の変更により、デバイスまたはコンピューターが BitLocker 回復モードに入る可能性があります。
PCR の変更を追跡し、変更されたタイミングを特定することで、発生した問題や、デバイスまたはコンピューターが BitLocker 回復モードに入った理由について分析情報を得ることができます。 測定ブート ログには、PCR の変更やその他の情報が記録されます。 これらのログは、*C:\Windows\Logs\MeasuredBoot* フォルダーにあります。
この記事では、これらのログのデコードに使用できるツールについて説明します。
- TBSLogGenerator.exe
- PCPTool.exe
測定ブートと PCR の詳細については、次の記事を参照してください。
TBSLogGenerator.exe を使用して測定されたブート ログをデコードする
TBSLogGenerator.exe を使用して、Windows から収集された測定ブート ログをデコードします。 TBSLogGenerator.exe は、次のシステムにインストールできます。
- Windows Server 2016以降を実行しており、TPM が有効になっているコンピューター
- Windows Server 2016以降を実行しており、仮想 TPM を使用している Hyper-V で実行されている Gen 2 仮想マシン。
ツールをインストールするには、次の手順に従います。
Windows ハードウェア ラボ キットから Windows ハードウェア ラボ キットをダウンロードします。
ダウンロード後、インストールのダウンロード先のパスからインストール ファイルを実行します。
既定のインストール パスをそのまま使用します。
[ インストールする機能の選択] で、[ Windows ハードウェア ラボ キット - コントローラー + Studio] を選択します。
インストールを完了します。
TBSLogGenerator.exeを使用するには、次の手順に従います。
インストールが完了したら、管理者特権のコマンド プロンプト ウィンドウを開き、次のフォルダーに移動します。
C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\NTTEST\BASETEST\ngscb
このフォルダーには、 TBSLogGenerator.exe ファイルが含まれています。
次のコマンドを実行します。
TBSLogGenerator.exe -LF <LogFolderName>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.txt
ここで、変数は次の値を表します。
- <LogFolderName> = デコードするファイルを含むフォルダーの名前
- <LogFileName> = デコードするファイルの名前
- <DestinationFolderName> = デコードされたテキスト ファイルのフォルダーの名前
- <DecodeedFileName> = デコードされたテキスト ファイルの名前
たとえば、次の図は、Windows 10 コンピューターから収集され、C:\MeasuredBoot\ フォルダーに格納された測定ブート ログを示しています。 この図は、コマンド プロンプト ウィンドウと、 0000000005-0000000000.log ファイルをデコードするコマンドも示しています。
TBSLogGenerator.exe -LF C:\MeasuredBoot\0000000005-0000000000.log > C:\MeasuredBoot\0000000005-0000000000.txt
コマンドは、指定した名前を使用するテキスト ファイルを生成します。 この例では、ファイルは 0000000005-0000000000.txtです。 ファイルは、元の .log ファイルと同じフォルダーにあります。
このテキスト ファイルの内容は、次のテキストのようになります。
PCR 情報を見つけるには、ファイルの末尾に移動します。
PCPTool.exe を使用して測定されたブート ログをデコードする
注:
PCPTool.exe は Visual Studio ソリューションですが、ツールを使用する前に実行可能ファイルをビルドする必要があります。
PCPTool.exe は、 TPM プラットフォーム Crypto-Provider ツールキットの一部です。 このツールは、測定ブート ログ ファイルをデコードし、XML ファイルに変換します。
PCPTool.exeをダウンロードしてインストールするには、[ツールキット] ページに移動し、[ダウンロード] を選択し、指示に従います。
ログをデコードするには、次のコマンドを実行します。
PCPTool.exe decodelog <LogFolderPath>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.xml
ここで、変数は次の値を表します。
- <LogFolderPath> = デコードするファイルを含むフォルダーへのパス
- <LogFileName> = デコードするファイルの名前
- <DestinationFolderName> = デコードされたテキスト ファイルのフォルダーの名前
- <DecodeedFileName> = デコードされたテキスト ファイルの名前
XML ファイルの内容は、次の XML のようになります。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示