TPM PCR 验证错误导致启动时 BitLocker 恢复

TPM PCR 验证错误导致启动时 BitLocker 恢复

GFX 卡 计算机 将不会 使用 PCR7 绑定并显示为无法绑定（0、2、4、11）。

测试步骤：

• 引导至 设置
• 启用 安全引导
• 启用 TPM
• 引导至 操作系统
• 按 Win + R “Cmd” 以管理员身份运行。
• 输入命令 “manage-bde-protectors-get c：”

（图 1 — 设备管理器）

（图 2 — PowerShell）

（图 3 — 系统信息）

返回页首

dGPU（可扩展卡）及其 OROM/UEFI 驱动程序必须通过 TPM PCR7 进行签名和测量。BIOS 1.6.0 通过实施遵循 TCG 和 MSFT 要求的安全机制来解决安全漏洞。

从 TCG 端：

https://trustedcomputinggroup.org/wp-content/uploads/TCG_PCClient_PFP_r1p05_v23_pub.pdf

从操作系统端：

在 Microsoft 自己的 BitLocker 驱动器加密文档中

适用于 OEM 的 Windows 10 中的 BitLocker 驱动器加密

如果存在可扩展卡（例如：GFX 卡）导致 OROM UEFI 驱动程序在引导过程中由 UEFI BIOS 加载，然后 BitLocker 将不会使用 PCR7 绑定。

https://docs.microsoft.com/en-us/troubleshoot/windows-server/deployment/pcr7-configuration-binding-not-possible

返回页首

根据 Microsoft 信息，这是预期行为，没有恢复计划。

返回页首