Windows 서버에서 PCR7 구성을 "바인딩할 수 없습니다."로 표시

이 문서에서는 msinfo32의 Binding 불가능 한 문제와 문제의 원인을 소개합니다. 이는 Windows 및 Windows 적용됩니다.

msinfo32의 PCR7 구성

다음과 같은 경우를 생각해볼 수 있습니다.

  • Windows 보안 부팅 사용 플랫폼에 설치됩니다.
  • UEFI(Unified Extensible Firmware Interface)에서 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0을 사용하도록 설정할 수 있습니다.
  • BitLocker를 켜야 합니다.
  • 칩세트 드라이버를 설치하고 최신 Microsoft 월별 롤업을 업데이트합니다.
  • 또한 tpm.msc를 실행 하여 TPM 상태가 올바른지 확인할 수 있습니다. 상태는 TPM을 사용할 준비가 완료된 것으로 표시됩니다.

이 시나리오에서는 msinfo32 를 실행하여 PCR7 구성을 확인할 때 Binding이 불가능한 것으로 표시됩니다.

예기치 않은 메시지의 원인

BitLocker는 부팅 중에 유효성을 검사할 초기 부팅 구성 요소에 서명하는 데 사용할 microsoft Windows PCA 2011 인증서만 수락합니다. 부팅 코드에 다른 서명이 있는 경우 BitLocker는 7, 11 대신 TPM 프로필 0, 2, 4, 11을 사용합니다. 경우에 따라 UEFI CA 2011 인증서로 이진에 서명하여 BitLocker를 PCR7에 바인딩할 수 없습니다.

참고

UEFI CA는 악성(UEFI CA 서명) 코드를 로드할 수 있는 타사 응용 프로그램, 옵션 ROM 또는 타사 부팅 로더에 서명하는 데 사용할 수 있습니다. 이 경우 BitLocker는 PCR 0, 2, 4, 11로 전환됩니다. PCR 0,2,4,11의 Windows CA 인증서 대신 정확한 이진 해시를 측정합니다.

Windows 0, 2, 4, 11 또는 프로필 7, 11을 사용하는지와 관계없이 보안이 유지될 수 있습니다.

추가 정보

장치가 요구 사항을 충족하는지 확인하려면

  1. 승강된 명령 프롬프트를 열고 명령을 실행 msinfo32 합니다.

  2. 시스템 요약에서 BIOS 모드가 UEFI 인 경우 PCR7 구성 이 바인딩되어 있는지 확인해야 합니다.

  3. 승강된 PowerShell 명령 프롬프트를 열고 다음 명령을 실행합니다.

    Confirm-SecureBootUEFI
    

    True 값이 반환 되는지 확인해야 합니다.

  4. 다음 PowerShell 명령을 실행합니다.

    manage-bde -protectors -get $env:systemdrive
    

    드라이브가 PCR 7로 보호되어 있는지 확인

    PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
    BitLocker Drive Encryption: Configuration Tool version 10.0.22526
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    
    Volume C: [OSDisk]
    All Key Protectors
    
        TPM:
         ID: <GUID>
        PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)