Windows 11 BitLocker 自动设备加密介绍及查看PCR值
用户在满足硬件要求的设备上完成全新体验 (OOBE) 后,BitLocker 自动设备加密会使用 BitLocker 驱动器加密技术自动加密内部驱动器。
BitLocker 自动设备加密在全新体验 (OOBE) 期间启动。只有用户使用 Microsoft 帐户或 Azure Active Directory 帐户登录后,才会启用(提供)保护。 在此之前,保护已暂停,数据不受保护。 使用本地帐户不会启用 BitLocker 自动设备加密,在这种情况下,可以使用 BitLocker 控制面板手动启用 BitLocker。
BitLocker 自动设备加密硬件要求
备注
从 Windows 11 版本 24H2 开始,Microsoft 降低了 Windows 中自动设备加密 (Auto-DE) 的硬件要求:
Auto-DE 不再依赖于硬件安全测试接口 (HSTI)/新式待机
即使检测到不受信任的直接内存访问(DMA)总线/接口,仍然启用自动DE功能。
这意味着 OEM 无需将 DMA 接口添加到 AllowedBuses 注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses
新的降低要求自动反映在 HLK 测试中,OEM 无需采取进一步作。
此更改不适用于 Windows IoT 版本。
在以下情况下,将启用 BitLocker 自动设备加密:
设备包含一个 TPM(受信任的平台模块),支持 TPM 1.2 或 TPM 2.0。
已启用 UEFI 安全启动。 有关详细信息,请参阅安全启动。
平台安全启动已启用
平台符合新式待机或 HSTI 标准(自 Windows 11 24H2 起已删除此要求)
不存在不允许的直接内存访问 (DMA) 接口(自 Windows 11 24H2 起已删除此要求)
在 Windows 11 启用自动 BitLocker 设备加密之前,必须通过以下测试。 如果要创建支持此功能的硬件,必须验证设备是否通过了这些测试。
TPM:设备必须包含支持 PCR 7 的 TPM。 请参阅 System.Fundamentals.TPM20.TPM20。
如果可扩展卡的存在导致 UEFI BIOS 在启动期间加载 OROM UEFI 驱动程序,那么 BitLocker 将不会使用 PCR7 绑定。
如果你运行的设备没有绑定到 PCR7 并且启用了 BitLocker,这不会带来安全方面的负面影响,因为使用常规 UEFI PCR 配置文件 (0,2,4,11) 时,BitLocker 仍然是安全的。
最终 bootmgr Windows Prod CA 之前的任何额外 CA 哈希(甚至 Windows Prod CA)都会阻止 BitLocker 选择使用 PCR7。 无论额外的哈希是来自 UEFI CA(又名 Microsoft 第三方 CA)还是其他 CA,都无关紧要。
安全启动:已启用 UEFI 安全启动。 请参阅 System.Fundamentals.Firmware.UEFISecureBoot。
新式待机要求或 HSTI 验证。 (自 Windows 11 24H2 起已删除)
通过以下方式之一满足此要求:
实现新式待机要求。 其中包括 UEFI 安全启动要求和防止未经授权的 DMA。
从 Windows 10 版本 1703 开始,可以通过 HSTI 测试满足此要求:
平台安全启动自检(或注册表中配置的其他自检)必须由 HSTI 报告为已实施并通过。
除 Thunderbolt 外,HSTI 必须报告没有不允许的 DMA 总线。
如果存在 Thunderbolt,HSTI 必须报告 Thunderbolt 已安全配置(安全级别必须为 SL1 -“用户授权”或更高)。
除了启动和恢复 Windows(如果将 WinRE 放在系统分区上)所需的一切外,还必须具有 250MB 的可用空间。 有关详细信息,请参阅系统和实用工具分区。
当满足上述要求时,系统信息指示系统支持 BitLocker 自动设备加密。 此功能在 Windows 10 版本 1703 或更高版本中可用。 以下是检查系统信息的方法。
单击“开始”,然后键入“系统信息”
右键单击“系统信息”应用,然后单击“以管理员身份打开”。 通过单击“是”,允许该应用对你的设备进行更改。 某些设备可能需要提升的权限才能查看加密设置。
- 在“系统摘要”中,查看“设备加密支持”。 该值将说明设备是否已加密,如果未加密,则会说明禁用它的原因。
那么如何查看PCR7的状态
使用管理员身份运行powershell ,然后执行:manage-bde -protectors -get $env:systemdrive 可以查看当前支持的策略,然后根据支持的策略进行适当修改。
集成网卡(没有插网卡的情况)
插独立网卡
参考文章:
Windows Server shows PCR7 configuration as "Binding not possible" - Windows Server | Microsoft Learn
OEM 的 Windows 11 中的 BitLocker 驱动器加密 | Microsoft Learn
PCR值的定义
ProtectKeyWithTPM method of the Win32_EncryptableVolume class - Win32 apps | Microsoft Learn
| Value | Meaning |
|---|---|
| 0 | Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions. |
| 1 | Platform and Motherboard Configuration and Data |
| 2 | Option ROM Code |
| 3 | Option ROM Configuration and Data |
| 4 | Master Boot Record (MBR) Code |
| 5 | Master Boot Record (MBR) Partition Table |
| 6 | State Transition and Wake Events |
| 7 | Computer Manufacturer-Specific |
| 8 | NTFS Boot Sector |
| 9 | NTFS Boot Code |
| 10 | Boot Manager |
| 11 | BitLocker Drive Encryption Access Control |
| 12 | Defined for use by the static operating system |
| 13 | Defined for use by the static operating system |
| 14 | Defined for use by the static operating system |
| 15 | Defined for use by the static operating system |
| 16 | Used for debugging |
| 17 | Dynamic CRTM |
| 18 | Platform defined |
| 19 | Used by trusted operating system |
| 20 | Used by trusted operating system |
| 21 | Used by trusted operating system |
| 22 | Used by trusted operating system |
| 23 | Application support |