Что такое конфигурация pcr7
Общие сведения о банках PCR на устройствах TPM 2.0
Область применения
Рекомендации по переключению банков PCR на устройствах TPM 2.0 вашего ПК необходимо получить у своего поставщика OEM или UEFI. В этой статье приведены сведения о том, что происходит при переключении банков PCR на устройствах TPM 2.0.
Реестр конфигурации платформы (PCR) — участок памяти в доверенном платформенном модуле, который имеет некоторые уникальные свойства. Размер значения, которое можно храниться в PCR, определяется размером дайджеста, сформированного связанным алгоритмом хэширования. В реестре конфигурации платформы SHA-1 можно сохранить 20 байт (это размер дайджеста SHA-1). Несколько PCR, относящихся к одному алгоритму хэширования, называют банком PCR.
Для хранения нового значения в PCR существующее значение расширяется следующим образом: PCR[N] = HASHalg (PCR[N] || ArgumentOfExtend )
Существующее значение объединяется с аргументом операции расширения TPM. Затем созданное объединение используется в качестве входных данных для соответствующего алгоритма хэширования, который вычисляет дайджест ввода. Этот вычисленный дайджест становится новым значением PCR.
Спецификация профиля TPM клиентской платформы ПК TCG определяет включение хотя бы одного банка PCR с 24 регистрами. Единственный способ сбросить первые 16 PCR — сбросить модуль TPM. Благодаря такому ограничению значение этих PCR можно изменить только с помощью операции расширения TPM.
Некоторые PCR TPM используются, как контрольные суммы событий журнала. События журнала обобщаются в доверенном платформенном модуле по мере возникновения событий. Позже аудитор сможет проверить журналы путем расчета предполагаемых значений PCR из журнала и их сравнения со значениями PCR модуля TPM. Так как первые 16 PCR модуля TPM нельзя произвольно изменить, соответствие между предполагаемым значением PCR в этом диапазоне и действительным значением PCR модуля TPM обеспечивает уверенность в том, что журнал не изменен.
Каким образом Windows использует PCR?
Для привязки использования ключа на основе TPM к определенному состоянию компьютера ключ может быть запечатан в предполагаемом наборе значений PCR. Например, PCR от 0 до 7 имеют четко определенное значение после загрузки — когда операционная система загружена. При изменении оборудования, встроенного ПО или загрузчика компьютера изменение может обнаружиться в значениях PCR. Windows использует эту возможность, чтобы обеспечить доступность криптографических ключей только в определенное время при загрузке. Например, ключ BitLocker можно использовать в определенной точке загрузки, но не до или после.
Важно отметить, что такая привязка к значениям PCR также содержит алгоритм хэширования, используемый для PCR. Например, ключ может быть привязан к определенному значению PCR SHA-1[12], если он используется банками PCR SHA-256, даже с той же конфигурацией системы. В противном случае значения PCR не совпадают.
Что происходит при переключении банков PCR?
При переключении банков PCR изменяется алгоритм, используемый для расчета хэшированных значений, сохраненных в PCR во время операций расширения. Каждый хэш-алгоритм возвратит другую криптографическую подпись для одинаковых вводов.
В результате, если используемый в настоящее время банк PCR переключен, все ключи, привязанные к предыдущим значениям PCR, перестают работать. Например, если у вас был ключ, привязанный к значению SHA-1 PCR[12] и впоследствии измененный банк PCR на SHA-256, банки не будут соответствовать, и вы не сможете использовать этот ключ. Защита ключа BitLocker обеспечивается с помощью банков PCR, и система Windows не сможет его раскрыть, если банки PCR были переключены при включенном BitLocker.
Что можно сделать для переключения PCR при активном BitLocker?
Перед переключением банков PCR необходимо приостановить или отключить BitLocker или использовать готовность ключа к восстановлению. Рекомендации по переключению банков PCR на ПК необходимо получить у своего поставщика OEM или UEFI.
Как определить, какой банк PCR используется?
TPM можно настроить, чтобы активировать несколько банков PCR. Когда BIOS выполняет измерения, он будет делать это во всех активных банках PCR, в зависимости от его возможностей для этих измерений. BIOS может отключать банки PCR, которые не поддерживаются, или «закрыть» их, расширяя сепаратор. В следующем значении реестра определяется активность банков PCR.
Windows проверяет, какие банки PCR активны и поддерживаются BIOS. Windows также проверяет, поддерживает ли измеренный журнал загрузки измерения для всех активных банков PCR. Windows предпочтет использовать банк SHA-256 для измерений и вернется к банку PCR SHA1, если одно из предварительных условий не будет выполнено.
Вы можете определить, какой банк PCR в настоящее время используется Windows, посмотрев на реестр.
Windows использует только один банк PCR для продолжения измерений загрузки. Все другие активные банки PCR будут расширены с помощью сепаратора, чтобы указать, что они не используются Windows и измерениям, которые, как представляется, из Windows, не следует доверять.
Как узнать сведения о компьютере и системе без программ
Как Вы помните мы часто рассказываем Вам про всякие там CPU-Z, GPU-Z, AIDA64 и другого рода софт вроде Speccy, который позволяет посмотреть всю начнинку и сразу, причем, как аппаратную, так и программную.
Да всё очень просто.
Вводная
Ну понятное дело, что было бы странно, если кликнув правой кнопкой мышки по значку » Мой компьютер » (он же проводник, он же » Этот компьютер «) и, выбрав пункт свойства, Вы бы не обнаружили данных о своём компьютере.
Примерно столь же старнно было бы не увидеть этого всвойствах системы, по пути: » Панель управления\Все элементы панели управления\Система «, который можно вбить в поисковик очень обрадоваться.
Само собой, что Microsoft чуть-чуть подумали об этом и сделали небольшую утилиту, которая позволяет эти данные получить.
В старших версиях систем она живет по умолчанию и вызвать её не сложно. Достаточно нажать WIN+R на клавиатуре, после чего ввести:
И нажать в копочку Enter, что и приведет Вас к искомому инструменту для получения такой штуки как сведения о компьютере (вообще это сведения о системе, но там можно найти и то, и это).
Конечно еще, если у Вас большой и не оптимизированный » Пуск «, то можно просто вбить msinfo32 (или сразу » Сведения о компьютере «) в строке поиска и увидеть искомое (см.скриншот выше).
Что можно здесь найти
В принципе, не сказать, что список очень уж подробный, не смотря на его немалый размах и задел (выглядит монументально) и, в общем-то, в умелых руках он может быть неплохим инструментом для диагностики. Выглядит оно вот так (извините, всё разворачивать было лень):
Пример вывода общей информации
Простой перечень, взятый с упомянутой выше вкладке, выглядит примерно вот так (лучше сядьте):
Информативно до безумия (это сарказм), а от некоторых пунктов хочется не то плакать (кровью), не то смеяться (насмерть), не то купить билет в Силиконовую долину и оторвать руки кому-то к чертям.
Если копнуть глубже
Если изучить вкладки детальнее, да и просто разбираться в чем-то с умом, то можно найти много очень полезной информации. О драйверах, о видеокартах, портах ввода-вывода и кучи чего еще.
Простой пример вывода вкладки » Дисплей «:
Т.е, при желании, можно в общем-то надергать много интересного без всяких там AIDA и диагностических утилит, которые, кстати, часто берут сведения о компьютере как раз очень может быть, что отсюда. Кстати, во времена первых разборов BSOD’ов я когда-то усиленно использовал эту утилиту Windows.
Послесловие
Такая вот получилась статья-заметка про внутренности системы и прочие плюшки. Пока, опять же, обзорного характера, на манер тех, что мы уже выпускали про «Планировщик заданий, «Журналы Windows» и «Монитор ресурсов Windows». Да и не только про них.
Интересно? Наверное. Как пользоваться хотите узнать или уже знаете? Ну и замчательно 🙂 Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой статье.
Помогите! Проблема с компом/ноутом!
19 лет на сайте
пользователь #4007
В данной ветке обсуждаем любые проблемы с компьютером и его программным обеспечением (thread)
Давайте будем использовать грамотный подход к излечению траблов.
Сначала воспользуйтесь поисковиком (Гуглом например).
. Возможность показать графическую «толстумбу» со стороннего ресурса необходима, чтоб выложить крупную картинку со всеми деталями. Это требуется крайне редко. Лучше всего, жмите изображение руками (чтоб понять Вашу картинку зачастую достаточно разрешения 400х300 пикселей, а то и меньше) или
Используйте спойлер (чел в шляпе сверху окна редактирования) для размещения нескольких картинок.
Возможно, Ваша проблема уже решена в соответствующей профильной ветке. Воспользуйтесь поиском в них:
Вот упрощенный список вопросов, на которые должен ответить каждый вопрошающий:
1) Конфигурация, подробное описание железа, на котором глючат глюки.
2) Какое было состояние компика, пока он не заболел.
3) Что изменилось во время болезни. Может прожку какую ставили и она натраблила. Какие важные функции отсохли у Вашего электронного друга?
Для дискуссий и словопрений специалистов, которые выходят за рамки консультаций, создана ветка Компьютерная флудилка. Место для дискуссий специалистов. Примеры пользования ей по методу взаимных ссылок: первый пример, второй пример.
19 лет на сайте
пользователь #3047
Che Guevara, а в SafeMode грузится? Оборудование какое в последнее время не ставил/апгрейдил?
17 лет на сайте
пользователь #24519
17 лет на сайте
пользователь #17682
Che Guevara, А биос хотя бы видишь?Или ничего?
19 лет на сайте
пользователь #4007
оборудование не ставил/не апгрейдил
18 лет на сайте
пользователь #7853
а) сбрось на Fail-Safe Defaults в BIOS настройки
в) если в Safe-Mode загрузиться задисэйблдни ACPI
г) возможно BIOS стоит перепрошить? Какая мамка?
19 лет на сайте
пользователь #4007
Мамка с двойным биосом, вроде не он
Завтра блок переставит и попробует
19 лет на сайте
пользователь #4968
А может быть такое, что выбило память или видео?
17 лет на сайте
пользователь #21478
Проверь напряжение на батарейке в биосе, должно быть 3В
19 лет на сайте
пользователь #3519
Che Guevara, была похожая проблема именно из-за блока питания
19 лет на сайте
пользователь #3519
zm, при чем здесь напряжение на батарейке, когда после заргузки транзистарный переключатель от биока батарейку отключает и блок подает на ее заряд и питает биос при загруженом компе.
17 лет на сайте
пользователь #17682
17 лет на сайте
пользователь #24519
Подскажите пож-ста марки надежных БП, кроме Power Man. которых пока в Минске найти нереально, а проблему сейчас решать нада.
17 лет на сайте
пользователь #17682
Smoking Barrel, Power Supply 400W P4 Zalman-ZM400B-APS
Power Supply 300W P4 Sparkman
Power Supply 300W P4 Microtech
17 лет на сайте
пользователь #17539
не шутки ради, а ради практического и познавательного интереса.
В рамках борьбы с шумом из системника все вентиляторы уже утихомирены (на пониженных оборотах, 12» на блоке питания FSP), поэтому когда стал искать откуда же всё таки исходит шум, то виновником оказался именно винчестер.
Я подозреваю, что дело в том, что у меня жесткая стойка для 5 и 3,5 дюймовых устройств, поэтому шумы и вибрации (особенно при работе) хорошо передаются (если не прав, то попинайте меня). Как вариант рассматривается
б) взять съемную корзину от 3,5 устройств от другого корпуса и закрепить ее в 5 дюймовом отсеке, но не винтами, а положив слой поролона (или подобного)
з.ы. А кто-нить пробовал корпус изнутри шумоизоляцией обклеивать?
Тут уже была тема про бесшумный корпус, но там спрашивали какой и где купить, и максимум дошли до перепайки вентиляторов, а я со своим корпусом расставаться не собираюсь
Как включить BitLocker при загрузке Windows 10 из диспетчера загрузки стороннего производителя?
Моя установка
У меня есть ноутбук ThinkPad P1 Gen 3, и я хочу, чтобы он выполнял двойную загрузку Linux и Windows 10. Для этого я хочу использовать диспетчер загрузки, поддерживающий как Linux, так и Windows; в настоящее время я использую rEFInd. Я также хочу включить безопасную загрузку и зашифровать мой диск Windows с помощью BitLocker.
Проблема: BitLocker не работает
Проблема в том, что я не могу зашифровать свой диск с помощью BitLocker. Когда я загружаю Windows с помощью rEFInd, BitLocker не работает. Я определил, что он отключается, потому что привязка PCR7 невозможна – в Системная информация он говорит:
Поддержка шифрования устройства:
Причины неудачного автоматического шифрования устройства: привязка PCR7 не поддерживается; Обнаружены недопустимые шина / устройства с поддержкой DMA
Кажется, все это каким-то образом связано с Trusted Platform Module (TPM), но я все еще читаю больше об этой теме, которая для меня нова.
С другой стороны, когда я загружаю Windows непосредственно из записи UEFI, опуская rEFInd, привязка PCR7 возможна, и BitLocker работает нормально.
Я тестировал другие менеджеры загрузки, поддерживающие Linux, например systemd-boot, и проблема была такой же. Таким образом, проблема возникает не только в rEFInd, но и в любом диспетчере загрузки, кроме диспетчера загрузки Windows, который запускается напрямую через UEFI.
Вопрос
Почему привязка PCR7 невозможна при загрузке Windows из другого диспетчера загрузки? Как я могу это исправить?
Почему привязка PCR7 невозможна при загрузке Windows из другого диспетчера загрузки?
PCR7 – это регистр, в котором регистрируются все параметры безопасной загрузки – полное содержимое PK / KEK / db, а также конкретные сертификаты, используемые для проверки каждого загрузочного приложения (например, rEFInd, Bootmgfw, Winload.efi).
BitLocker, похоже, имеет умышленное ограничение что это будет Только привязать к PCR7, если его значение указывает, что вся цепочка загрузки подписана исключительно с использованием сертификатов Microsoft Windows Production PCA. Он откажется, если что-то в процессе (например, rEFInd или другой сторонний загрузчик) было подписано с использованием другого сертификата, даже если этому другому сертификату доверяет ваша конфигурация UEFI.
Это, скорее всего, предназначено для изоляции операционных систем в среде с двойной загрузкой, например, чтобы не допустить, чтобы кто-то просто перезагрузился в произвольный незащищенный Linux через Shim и таким образом получил доступ к вашим файлам Windows.
(Примечание: на самом деле я не знаю, принимает ли BitLocker загрузчики, подписанные «Microsoft Corporation UEFI CA 2011», предназначенные для сторонних загрузчиков. Если это так, то вы можете использовать Shim для загрузки rEFInd, поскольку Shim подписан используя этот CA.)
(Примечание: использование BitLocker PCR7 не мешает вам иметь настраиваемые сертификаты, установленные в PK, KEK или db – это нормально иметь настройку безопасной загрузки с настраиваемым ключом для целей Linux, если эти настраиваемые записи db не участвуют в процесс загрузки Windows.)
Конечно, если безопасная загрузка отключена и rEFInd вообще не был подписан, то PCR7 вообще не имеет полезной информации и не может быть использован.
Если вы используете функцию «Шифрование устройства» (Windows 10 Home / Pro), вы не можете избежать этого – эта урезанная версия BitLocker всегда требует безопасной загрузки и использования TPM PCR7.
Если вы используете полную версию BitLocker (только для Windows 10 Pro), все это не мешает BitLocker использовать TPM в целом – он по-прежнему может использовать альтернативный метод привязки к PCR0 / 2/4/11 (PCR4 – это регистр, содержащий точные хэши загрузочных файлов). Проблема в том, что использование PCR0 / 2/4 немного более хрупкое и приводит к более частым запросам ключа восстановления. Например, каждый раз, когда вы обновляете Shim или rEFInd, значение PCR4 будет меняться, и вам понадобится ключ восстановления.
(Примечание: если вы включите BitLocker с активной привязкой PCR7, а затем перезагрузитесь через rEFInd, чтобы PCR7 стал непригодным для использования, вам будет предложено ввести ключ восстановления, и вместо этого BitLocker будет автоматически повторно привязан к PCR0 / 2/4/11. И наоборот. наоборот, перезагрузка из меню UEFI непосредственно в Windows приведет к тому, что BitLocker попытается выполнить повторную привязку к PCR7 после ввода ключа восстановления.)
Я думаю, BitLocker не ограничивается шифрованием всего диска.
BitLocker в режиме «Программного шифрования» никогда не шифрует весь диск – он шифрует Windows. перегородка, точно так же, как можно было бы использовать LUKS для шифрования своего раздела Linux.
Все остальные разделы остаются без изменений. В частности, поскольку прошивка UEFI обычно не имеет встроенной поддержки BitLocker, «Системный раздел EFI» имеет оставаться незашифрованным.
Можно ли использовать два раздела UEFI?
Да, но 1) в этом нет необходимости, 2) это вам не особо поможет. Нет никакой разницы между использованием двух разделов и помещением загрузочных файлов Windows и Linux в один и тот же раздел – имеют значение только сами файлы.
Спасибо! Это тонна полезной информации, которую я не смог найти нигде в Интернете. На самом деле я использую загрузчик Shim для загрузки rEFInd, и он не работает, поэтому кажется, что BitLocker не принимает ничего, подписанного Корпорация Microsoft UEFI CA 2011 сертификат.
– Роберт Кушньер
15 часов назад
Как переключить BitLocker на использование альтернативного метода привязки к PCR0 / 2/4/11?
– Роберт Кушньер
15 часов назад
– user1686
15 часов назад
– user1686
15 часов назад
Думаю, я наконец понял Зачем это ограничение от BitLocker необходимо. Если бы его не было, и если бы вы использовали привязку PCR7 вместе, например, с Shim + rEFInd, тогда была бы возможность загрузиться в другую ОС (возможно, предоставленную злоумышленником) способом, который по-прежнему приводит к тому же событию PCR7. log и предоставляет доступ к разделу Windows, зашифрованному с помощью BitLocker.
– user1686
15 часов назад
У меня ноутбук с двойной загрузкой, UEFI с безопасной загрузкой, Ubuntu с LUKS и Windows 10 Pro с Bitlocker. Обратной стороной моей установки является то, что я не использую модуль TPM и мне приходится вводить пароль для разблокировки битлокера. Я не помню точных шагов, я полагаю, что выполнил стандартную процедуру двойной загрузки без Bitlocker, а затем включил Bitlocker. Понятия не имею, что такое привязка PCR7. Я использую Grub2 как менеджер загрузки.
KB4535680: обновление системы безопасности для безопасной загрузки DBX: 12 января 2021 г.
Относится к
Это обновление для системы безопасности относится только к следующим версиям Windows:
64-битная версия Windows Server 2012
64-битная версия Windows Server 2012 R2
64-битная версия Windows Server 2016
64-битная версия Windows Server 2019
Windows 10 версии 1607 x64-bit
Windows 10 версии 1803 x64-бит
Windows 10 версии 1809 x64-bit
Windows 10 версии 1909 x64-bit
Аннотация
Это обновление для системы безопасности вносит улучшения в DBX secure Boot DBX для поддерживаемых версий Windows, перечисленных в разделе «Применяется к». К основным изменениям относятся следующие:
Устройства с Windows с единым extensible Firmware Interface (UEFI) могут запускаться с включенной безопасной загрузкой. DBX предотвращает загрузку модулей UEFI. Это обновление добавит модули в DBX.
При безопасном загрузке есть функция безопасности, минуя уязвимость. Злоумышленник, который успешно использовал эту уязвимость, может обойти безопасный загрузку и загрузить неподтверченное программное обеспечение.
Это обновление для системы безопасности позволяет решить эту уязвимость, добавив в нее подписи известных уязвимых модулей UEFI.
Дополнительные информацию об этой уязвимости безопасности см. в | Обход уязвимости функции безопасности загрузки Майкрософт.
Известные проблемы
Некоторые изготовители оборудования (OEM) могут не допускает установки этого обновления.
Чтобы устранить эту проблему, обратитесь к OEM-данной программы.
Если политика bitLocker Group Policy configure TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in the BitLocker recovery key required on some devices where PCR7 binding is not possible.
Чтобы просмотреть состояние привязки PCR7, запустите средство Microsoft System Information (Msinfo32.exe) с разрешениями администратора.
Чтобы решить эту проблему, перед развертыванием этого обновления сделайте одно из следующего на основе конфигурации credential guard:
На устройстве, на которое не включено устройство Credential Gard, запустите следующую команду из командной команды администратора, чтобы приостановить BitLocker на 1 цикл перезагрузки:
Затем перезапустите устройство, чтобы возобновить защиту BitLocker.
Примечание Не взимите защиту BitLocker без перезапуска устройства, так как это приведет к восстановлению BitLocker.
Ожидается, что это обновление перезапустится два раза. Снова перезапустите устройство, чтобы возобновить защиту BitLocker.
Примечание. Не в включаете защиту BitLocker без ее перезапуска, так как это приведет к восстановлению BitLocker.
Восстановление BitLocker можно ввести, если после включения BitLocker в среде настроены конфликтующие параметры групповой политики BitLocker. Восстановление BitLocker может быть активно в связи с одним из параметров групповой политики, которые параметров ниже:
Принудительное принудительное настройка привязки PCR, которая отличается от уже выбранных в BitLocker.
Настройка GP»Разрешитьбезопасную загрузку для проверки целостности данных» для блокировки безопасного загрузки для проверки целостности данных, но BitLocker уже использует безопасную загрузку (PCR7).
Настройка групповой политики так, чтобы требовать дополнительную проверку подлинности во время запуска, но перед развертыванием групповой политики настроен BitLocker.
Если это обновление уже было применено и устройство не было перезапущено, приостановите BitLocker и перезапустите его после следующих действий:
Если явная конфигурация PCR настроена с помощью групповой политики или политика настроена на блокировку с помощью безопасного загрузки для проверки целостности данных, приостановка и возобновление BitLocker для очистки конфликтов GP.
Это обновление может не устанавливаться на устройствах с неподписаным файлом загрузки (не microsoft bootx64.efi). Это обновление может быть предложено и повторно обновлено через Windows Update, но не установить. При попытке установить это обновление вручную может возникнуть ошибка «Некоторые обновления не установлены» со списком KB4565680. Вы также можете проверить файл журнала CBS в папке %systemroot%\logs\cbs на следующее сообщение об ошибке:
onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ошибка TRUST_E_NOSIGNATURE возникла в функции Windows:WCP::SecureBoot::BasicInstaller:Install expression: ApplySecureBootUpdate( dwAvailableUpdates)
Мы работаем над решением и оцениваем, что решение будет доступно для Windows 10 версии 1909, Windows 10, версии 2004 и Windows 10 версии 20H2 в конце марта. Остальные поддерживаемые версии Windows должны быть доступны в середине апреля.
Для получения дополнительных инструкций перед выпуском разрешения обратитесь к изготовителю устройства (OEM).
Как получить это обновление
Способ 1. Обновление Windows
Это обновление доступно в Обновлении Windows. Он будет скачит и установлен автоматически.
Способ 2. Каталог обновлений Майкрософт
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.
Способ 3: cлужбы Windows Server Update Services
Это обновление также доступно в cлужбы Windows Server Update Services (WSUS).
Предварительные условия
Убедитесь, что установлено последнее обновление стеком обслуживания (SSU). Сведения о последних SSU для вашей операционной системы см. в | Последние обновления стеком обслуживания.
Необходимость перезагрузки
Вашему устройству не нужно перезапускать устройство при применении этого обновления. Если у вас Защитник Windows Credential Guard (виртуальный безопасный режим), устройство будет перезапущено два раза.
Сведения о замене обновлений
Это обновление не заменяет ни одного из ранее выпущенных обновлений.