TPM PCR-valideringsfeil som forårsaker BitLocker-gjenoppretting ved oppstart
Summary: Denne artikkelen inneholder informasjon om valideringsfeilen Trusted Platform Module (TPM) Platform Configuration Register (PCR) som forårsaker BitLocker-gjenoppretting ved oppstart.
Symptoms
TPM PCR-valideringsfeil som forårsaker BitLocker-gjenoppretting ved oppstart
GFX-kortdatamaskinen bruker IKKEPCR7-binding og vises som binding ikke mulig (0, 2, 4, 11).
Testtrinn:
- Oppstart for oppsett
- Aktiver sikker oppstart
- Aktiver TPM
- Start opp til operativsystemet
- Trykk på Win + R "Cmd" kjør som administrator.
- Input, kommando "Manage-BDE-beskyttere-Get C:"
(Figur 1 – Enhetsbehandling)
(Figur 2 – PowerShell)
(Figur 3 – Systeminformasjon)
Cause
dGPU (utvidbare kort) og OROM/UEFI-driveren må signeres og måles via TPM PCR7. BIOS 1.6.0 for å løse sikkerhetsproblemet ved å implementere sikkerhetsmekanismen som følger kravet fra TCG og MSFT.
Fra TCG-siden:
https://trustedcomputinggroup.org/wp-content/uploads/TCG_PCClient_PFP_r1p05_v23_pub.pdf
Fra siden av operativsystemet:
I Microsofts egen dokumentasjon om BitLocker Drive Encryption
BitLocker-stasjonskryptering i Windows 10 for OEM-er
Hvis det finnes utvidbare kort (f.eks. GFX-kort) fører til at OROM UEFI-drivere lastes inn av UEFI BIOS under oppstart, og BitLocker bruker IKKE PCR7-binding.
Resolution
Ifølge Microsoft-informasjon er det forventet oppførsel, uten gjenopprettingsplan.