Привязка Pcr7 не поддерживается в Windows 10

Обновлено: 05.05.2024

Есть вопрос относительно TPM на некоторых компьютерах.
Я вижу, что статус PCR7 = Возможна привязка, как мне изменить его на статус PCR7 = Привязано?

Спасибо за ответ

3 ответа

Привет, Энди!
Это нормально, что информация о системе -> Конфигурация PCR7 -> Возможна привязка, это правильное состояние, ничего делать не нужно.
Если вы видите, что привязка конфигурации PCR7 не Возможно, вам может понадобиться проверить это.

Если система использует безопасную загрузку для проверки целостности (PCR[7]), выполните следующие шаги для получения дополнительной диагностической информации.
Восстановление может быть запущено пакетом обновления встроенного ПО.
Если система имеет TPM2.0, требуется поддержка PCR [7]. В противном случае поддержка PCR [7] не является обязательной. В спецификации протокола дерева EFI есть сведения о поддержке PCR [7].
Проверьте, поддерживает ли эта система PCR [7] и используется ли BitLocker/Device Encryption, введя следующую команду из командной строки с повышенными привилегиями:
>Manage-bde -protectors -get %systemdrive%
Если профиль проверки PCR показывает PCR 7, 11 (использует безопасную загрузку для проверки целостности), система настроена правильно.

Если ответ полезен, нажмите «Принять ответ» и проголосуйте за него.
Информация, размещенная по данной ссылке, размещена третьей стороной. Microsoft не гарантирует точность и эффективность информации.
Примечание. Чтобы включить уведомления по электронной почте, выполните действия, описанные в нашей документации, если вы хотите получать соответствующее уведомление по электронной почте для этой темы.

Спасибо за полезную информацию.

Мы используем Intune и хотим, чтобы устройства автоматически «молчали» и включали блокировку битов.
Насколько я вижу, машины, которые этого не делают, — это машины с «Возможной привязкой».
Машины, которые "связаны", молча настраивают битлокер.

Я перешел по вашим ссылкам, но я не вижу хороших объяснений, когда речь заходит о том, "можно ли изменить Binding Possible на Bound?" там вообще нет настройки? изо всех сил пытаюсь получить четкое представление об этом.

Если в вашей среде используется Intune, вам лучше добавить в сообщение тег, связанный с intune, тогда инженер intune увидит этот случай и предложит вам свою идею. Если вы используете тег безопасности Windows 10, мы предпочитаем обсуждать встроенные функции и роли безопасности Windows 10, такие как защитник Windows или BitLocker.

Я понимаю, но полагаю, что мой вопрос не имеет прямого отношения к Intune.

Меня это и интересует. "Я перешел по вашим ссылкам, но я не вижу никаких хороших объяснений, когда речь заходит о том, "можно ли изменить привязку с возможной на привязку?" вообще не настройка. изо всех сил пытаясь получить четкое представление об этом."

Еще раз спасибо за ответ.

Обновите прошивку до последней версии и убедитесь, что на вашем компьютере используется TPM 2.0

У меня Windows 10 Домашняя, версия 10.0.18363, сборка 18363. У меня не было особых проблем, но сегодня вечером я просмотрел информацию о системе и на странице "Сводка" обнаружил пару записей, которые мне действительно не понимаю.

Привязка конфигурации PCR7 невозможна
Поддержка шифрования устройства. Причины сбоя автоматического шифрования устройства: привязка PCR7 не поддерживается, сбой интерфейса проверки аппаратной безопасности и устройство не находится в режиме современного ожидания, обнаружены неразрешенные шины/устройства с поддержкой DMA

Есть ли у меня проблема, о которой я не знаю? Должен ли я беспокоиться? Что мне делать, чтобы исправить это, если это необходимо? Был бы признателен за некоторые экспертные рекомендации здесь. Спасибо.

Эта тема заблокирована. Вы можете подписаться на вопрос или проголосовать за него как полезный, но вы не можете отвечать в этой теме.

Сообщить о нарушении

Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.

Ответы (6) 

Сообщения относятся к функции некоторых материнских плат, которая называется TPM. Это способ шифрования диска операционной системы на компьютерах (в основном используется на портативных устройствах, таких как планшеты и смартфоны)

Сообщения являются проблемой только в том случае, если у вас есть TPM и вы хотите зашифровать свой компьютер.

Он сообщает, что не может связаться с доверенным платформенным модулем, и причиной этого будет то, что у вас его нет или вы не настроили его.

На моей странице информации о системе указано это, но у меня нет TPM

Надеюсь, это вас успокоит.

Сообщить о нарушении

66 человек сочли этот ответ полезным

Был ли этот ответ полезен?

Извините, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим ответом?

Спасибо за ваш отзыв, он помогает нам улучшить сайт.

Насколько вы удовлетворены этим ответом?

Спасибо за отзыв.

Желая зашифровать свои диски и увидев то же сообщение, я купил модуль TPM и установил его. Он включен, был очищен, но я вижу такое же сообщение о невозможности привязки. Я хотел бы это исправить. Есть идеи?

Сообщить о нарушении

9 человек сочли этот ответ полезным

Был ли этот ответ полезен?

Извините, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим ответом?

Спасибо за ваш отзыв, он помогает нам улучшить сайт.

Насколько вы удовлетворены этим ответом?

Спасибо за отзыв.

Я нашел этот вопрос только потому, что собрал новый ПК и доверенный платформенный модуль и искал ответы на эту проблему. Я узнал, что для работы доверенного платформенного модуля и Bitlocker необходимо убедиться, что установлены следующие параметры. вверх

Ваш системный диск должен иметь систему разделов GPT. Вы можете проверить это, открыв управление компьютером (от имени администратора) и нажав «Управление дисками». найдите большие серые кнопки с надписью «Диск 1», «Диск 2». Щелкните правой кнопкой мыши тот, который является вашим системным диском, выберите «Свойства», а затем «Тома», и он должен сказать «Таблица разделов GUID (GPT)». Если это не так, вам придется преобразовать его. Я использовал Windows PowerShell. Если вы наберете «Преобразовать MBR-диск в GPT» в строке поиска Windows, вы увидите интерактивные страницы справки по этому вопросу.
В BIOS необходимо включить безопасную загрузку. Метод для этого будет отличаться для разных материнских плат. На моей плате Gigabyte опция включения безопасной загрузки появляется только при отключении поддержки CSM. Установите для поддержки VGA значение «Драйвер EFI». Когда я включил безопасную загрузку, мой BIOS заставил меня перезагрузиться, а затем войти в BIOS, а затем снова включить его по причинам, известным только ему самому.
Убедитесь, что в BIOS включен TPM.

Это сработало на моем ПК Gigabyte, но может немного отличаться для вас, но я надеюсь, что оно укажет вам правильное направление

PS.. Если после отключения поддержки CSM экран остается пустым, возможно, это связано с тем, что ваш монитор подключен к неправильному выходу видеокарты. Без поддержки CSM графическая карта отображает только 1 выход, пока не запустится Windows и не сработают полные драйверы карты. Мне потребовались дни, чтобы обнаружить это.

Сообщить о нарушении

Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение.Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.

48 человек сочли этот ответ полезным

Был ли этот ответ полезен?

Извините, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим ответом?

Спасибо за ваш отзыв, он помогает нам улучшить сайт.

Насколько вы удовлетворены этим ответом?

Спасибо за отзыв.

Я также собирал свой ПК на материнской плате Gigabyte несколько лет назад (H170 Gaming 3) и использовал VeraCrypt (с проблемами для основных обновлений Windows), до недавнего времени, когда я установил SSD в качестве загрузочного диска с моими данными на старый жесткий диск. Я изучаю решения для шифрования и обнаружил, что можно включить собственные возможности шифрования из Windows 10 Home (моя ОС), даже если интерфейс Bitlocker доступен только для версий Windows Pro. (У меня нет такой возможности, поэтому в конечном итоге я обновлю Windows до Pro или Enterprise).

Чтобы облегчить себе жизнь, я приобрел модуль Gigabyte TPM, но настроить его оказалось не так уж и просто.

Наконец, после двух перезагрузок у меня появилась возможность привязки конфигурации PCR 7.

У меня все еще есть одна проблема в информации о системе: поддержка шифрования устройства. Сбой интерфейса тестирования аппаратной безопасности, и устройство не находится в состоянии Modern Standby, обнаружена недопустимая шина/устройства с поддержкой DMA. Похоже, я не из леса!

Я должен выяснить, что это значит, прежде чем раскошелиться на 99 долларов за Bitlocker!

Привязка конфигурации PCR7 невозможна, идентификаторы событий Bitlocker 813, 834

В нашем офисе мы пытаемся перейти от использования инструмента шифрования McAfee к управлению Bitlocker через Workspace One (ранее Airwatch). Мне удалось успешно применить Bitlocker к двум моделям Lenovo T470. После того, как они сработали, я перенес тот же профиль на тестовый T480. Он входил в восстановление Bitlocker при каждой загрузке. Когда я зашел в системную информацию, я получил следующую запись в поле «Причины поддержки шифрования устройства для неудачного автоматического шифрования устройства»: «Привязка PCR7 не поддерживается, неразрешенные шины/устройства с поддержкой DMA»

Мне удалось решить проблему DMA, добавив «Порт восходящего коммутатора PCI Express» в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses с соответствующим значением ключа. Что я не могу заставить работать, так это привязку PCR7. Что бы я ни пытался, я все еще получаю сообщение «Привязка конфигурации PCR7 невозможна» на моделях T480 и T490. Всякий раз, когда я пытаюсь зашифровать его, я получаю следующие сообщения в журналах событий для Bitlocker API:

Событие 813 — «BitLocker не может использовать безопасную загрузку для проверки целостности, поскольку ожидаемая запись журнала TCG для переменной «CurrentPolicy» отсутствует или недействительна».
Событие 834 — «BitLocker определил, что журнал TCG недопустим для использования Безопасная загрузка. В это событие включен отфильтрованный журнал TCG для PCR[7]."

Я обновил ОС и BIOS. Я убедился, что модуль TPM и безопасная загрузка включены в BIOS. Я даже выключал и снова включал их, чтобы убедиться, что они включены.

Модуль TPM выглядит правильно:
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:list

IsActivated_InitialValue=TRUE
IsEnabled_InitialValue=TRUE
IsOwned_InitialValue=TRUE
ManufacturerId=1229346816
ManufacturerIdTxt=IFX
ManufacturerVersion=7.63.3353.0
ManufacturerVersion=7.633 .13.6400
ManufacturerVersionInfo=SLB9670
PhysicalPresenceVersionInfo=1.3
SpecVersion=2.0, 0, 1.16

Я подтвердил SecureBoot в информации о системе, вручную в BIOS и с помощью следующих команд powershell:
PS C:\WINDOWS\system32> Confirm-SecureBootUEFI
True
PS C:\WINDOWS\system32> Get-SecureBootPolicy

Если я попытаюсь установить Bitlocker на t480 и запустить "Manage-bde -protectors -get %systemdrive%", я получу значения PCR 0, 2, 4, 11. Если я сделаю это на t470, я зашифровал Я получаю правильный PCR 7, 11.

Оба устройства работают под управлением Microsoft Windows 10 Pro версии 1909 со всеми текущими исправлениями.

Я подозреваю, что что-то с нашим изображением вызывает проблему или проблемы. Обычно я пытаюсь установить новый образ Windows 10 для подтверждения, но поскольку наш главный офис закрыт, я не смогу повторно применить образ к устройству после этого.

Есть ли у кого-нибудь советы о том, как точно определить причину проблемы с привязкой PCR7? Кто-то упомянул tpmtool, который должен быть включен, но его здесь нет, и единственная документация, которую я могу найти, находится в разделе документации по серверу Windows 10.

killbill1231

Я никогда не знал, что такое шифрование, до недавнего времени, пока не получил файлы с моего разбитого диска. Когда вы устанавливаете Windows, должен быть кричащий баннер, в то время как он заставляет вас устанавливать пароль, который говорит: «Кстати, любой может просто отключить ваш диск и получить все с него, или просто используйте несколько простых нажатий клавиш при загрузке, чтобы получить доступ ко всему без пароля». , лол.

Я вижу: "Причины сбоя автоматического шифрования устройства. tpm не используется, привязка pcr7 не поддерживается, аппаратная безопасность не используется"

Обзор материнской платы Gigabyte Z97-HD3

Рынок наводнен недорогими материнскими платами Z97, многие из которых стоят менее 100 долларов. Одним из таких примеров является Z97-HD3 начального уровня от Gigabyte, самая доступная ступень на лестнице Z97 компании.

i7-4790K Socket H3 LGA-1150
GTX-1050-Ti 4GB GPU
Я не разгоняю CPU или GPU

Я не хочу использовать One Drive или учетную запись Microsoft, если это позволит использовать шифрование (что-то в домашних пользователях с большей вероятностью заблокирует доступ к их компьютеру, и из-за шифрования они потеряют все, но, возможно, даже если получат нетребование, которое я вижу, если вы добавите ключ шифрования в One Drive или, возможно, в учетную запись MS, это позволит вам зашифровать, но я не хочу ни One Drive, ни учетную запись MS. Я не хочу связываться с BIOS или что-то еще не нужно подключать USB-накопитель с шифрованием при каждой загрузке. Я бы предпочел купить новую материнскую плату или Windows 10 Pro, если это позволит шифрование.

Я купил Windows 10 для дома всего несколько недель назад, потому что мой диск с Windows 8.1 вышел из строя.

У меня также есть два внешних накопителя Western Digital Passport емкостью 1 ТБ для резервного копирования. Насколько мне известно, для доступа к ним требуется пароль (я перепробовал все папки/параметры, которые он показывает, прежде чем вы сможете ввести пароль, и там нет данных), но кто знает об этих вещах сейчас, может быть, я должен их тоже зашифровать, если возможно?

Если это не слишком запутывает, потому что мне не нужны обходные пути, может быть, даже отказ от обновления 10 Домашняя до 10 Pro, если это возможно по более низкой цене, чем полная 10 Pro, я бы предпочел потратить около 150 долларов на Windows 10 Pro, это самый простой вариант, или материнка другая и может хотя бы эту продать?
Я не могу вернуть эту USB-версию Windows 10 Home в newegg теперь, когда я активировал ее, я также не создавал с ней учетных записей Microsoft или One Drive, так что, может быть, я могу просто продать ее на ebay с ключом?
спасибо.

Читайте также: