Windows Server 顯示「不可能系結」 PCR7 設定。

本文將介紹 msinfo32 中 不可能 的問題,以及問題的原因。 這適用于 Windows 用戶端和 Windows 伺服器。

Msinfo32 中的 PCR7 設定

請試想下列案例:

  • Windows Server 安裝在安全啟動平臺上。
  • 您可以在整合可延伸韌體介面 (UEFI) 中,啟用信任的平臺模組 (TPM) 2.0。
  • 開啟 BitLocker。
  • 您安裝晶片組驅動程式並更新最新的 Microsoft 每月匯總。
  • 您也要執行 [ tpm ],確定 tpm 狀態良好。 [狀態] 顯示 TPM 已就緒,可供使用

在此案例中,當您執行 msinfo32 以檢查 PCR7 設定時,它會顯示為 無法 系結。

意外郵件的原因

BitLocker 只接受 Microsoft Windows PCA 2011 憑證,用來簽署在啟動期間會驗證的早期啟動元件。 在啟動程式碼中所出現的任何其他簽章,會導致 BitLocker 使用 TPM 設定檔0、2、4、11而非7,11。 在某些情況下,二進位檔案會以 UEFI CA 2011 憑證簽署,這樣會使您無法將 BitLocker 系結至 PCR7。

注意

UEFI CA 可用於簽署協力廠商應用程式、選項 Rom 或甚至協力廠商的開機載入程式,這些增益集可以載入惡意 (UEFI CA 簽署) 程式碼。 在此情況下,BitLocker 會切換至 PCR 0、2、4、11。 確切的二進位雜湊會加以度量,而不是 CA 憑證,這意味著攻擊的危險性較低。

不論使用 TPM 設定檔0、2、4、11或 profile 7 (11),Windows 都是安全的。

其他相關資訊

若要檢查您的裝置是否符合需求:

  1. 開啟提升許可權的命令提示字元,並執行 msinfo32 命令。

  2. 在 [系統摘要] 中,確認 BIOS 模式UEFI,且 PCR7 設定系 結。

  3. 開啟提升許可權的 PowerShell 命令提示字元,並執行下列命令:

    Confirm-SecureBootUEFI
    

    確認是否傳回 True 的值。

  4. 執行下列 PowerShell 命令:

    manage-bde -protectors -get $env:systemdrive
    

    確認磁片磁碟機受到 PCR 7 的保護。

    PS C:\Windows\system32> manage-bde -protectors -get $env:systemdrive  
    BitLocker Drive Encryption: Configuration Tool version 10.0.22526
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    
    Volume C: [OSDisk]
    All Key Protectors
    
        TPM:
         ID: <GUID>
        PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)