что такое конфигурация pcr7
Общие сведения о банках PCR на устройствах TPM 2.0
Область применения
Рекомендации по переключению банков PCR на устройствах TPM 2.0 вашего ПК необходимо получить у своего поставщика OEM или UEFI. В этой статье приведены сведения о том, что происходит при переключении банков PCR на устройствах TPM 2.0.
Реестр конфигурации платформы (PCR) — участок памяти в доверенном платформенном модуле, который имеет некоторые уникальные свойства. Размер значения, которое можно храниться в PCR, определяется размером дайджеста, сформированного связанным алгоритмом хэширования. В реестре конфигурации платформы SHA-1 можно сохранить 20 байт (это размер дайджеста SHA-1). Несколько PCR, относящихся к одному алгоритму хэширования, называют банком PCR.
Для хранения нового значения в PCR существующее значение расширяется следующим образом: PCR[N] = HASHalg (PCR[N] || ArgumentOfExtend )
Существующее значение объединяется с аргументом операции расширения TPM. Затем созданное объединение используется в качестве входных данных для соответствующего алгоритма хэширования, который вычисляет дайджест ввода. Этот вычисленный дайджест становится новым значением PCR.
Некоторые PCR TPM используются, как контрольные суммы событий журнала. События журнала обобщаются в доверенном платформенном модуле по мере возникновения событий. Позже аудитор сможет проверить журналы путем расчета предполагаемых значений PCR из журнала и их сравнения со значениями PCR модуля TPM. Так как первые 16 PCR модуля TPM нельзя произвольно изменить, соответствие между предполагаемым значением PCR в этом диапазоне и действительным значением PCR модуля TPM обеспечивает уверенность в том, что журнал не изменен.
Каким образом Windows использует PCR?
Для привязки использования ключа на основе TPM к определенному состоянию компьютера ключ может быть запечатан в предполагаемом наборе значений PCR. Например, PCR от 0 до 7 имеют четко определенное значение после загрузки — когда операционная система загружена. При изменении оборудования, встроенного ПО или загрузчика компьютера изменение может обнаружиться в значениях PCR. Windows использует эту возможность, чтобы обеспечить доступность криптографических ключей только в определенное время при загрузке. Например, ключ BitLocker можно использовать в определенной точке загрузки, но не до или после.
Важно отметить, что такая привязка к значениям PCR также содержит алгоритм хэширования, используемый для PCR. Например, ключ может быть привязан к определенному значению PCR SHA-1[12], если он используется банками PCR SHA-256, даже с той же конфигурацией системы. В противном случае значения PCR не совпадают.
Что происходит при переключении банков PCR?
При переключении банков PCR изменяется алгоритм, используемый для расчета хэшированных значений, сохраненных в PCR во время операций расширения. Каждый хэш-алгоритм возвратит другую криптографическую подпись для одинаковых вводов.
В результате, если используемый в настоящее время банк PCR переключен, все ключи, привязанные к предыдущим значениям PCR, перестают работать. Например, если у вас был ключ, привязанный к значению SHA-1 PCR[12] и впоследствии измененный банк PCR на SHA-256, банки не будут соответствовать, и вы не сможете использовать этот ключ. Защита ключа BitLocker обеспечивается с помощью банков PCR, и система Windows не сможет его раскрыть, если банки PCR были переключены при включенном BitLocker.
Что можно сделать для переключения PCR при активном BitLocker?
Перед переключением банков PCR необходимо приостановить или отключить BitLocker или использовать готовность ключа к восстановлению. Рекомендации по переключению банков PCR на ПК необходимо получить у своего поставщика OEM или UEFI.
Как определить, какой банк PCR используется?
TPM можно настроить, чтобы активировать несколько банков PCR. Когда BIOS выполняет измерения, он будет делать это во всех активных банках PCR, в зависимости от его возможностей для этих измерений. BIOS может отключать банки PCR, которые не поддерживаются, или «закрыть» их, расширяя сепаратор. В следующем значении реестра определяется активность банков PCR.
Windows проверяет, какие банки PCR активны и поддерживаются BIOS. Windows также проверяет, поддерживает ли измеренный журнал загрузки измерения для всех активных банков PCR. Windows предпочтет использовать банк SHA-256 для измерений и вернется к банку PCR SHA1, если одно из предварительных условий не будет выполнено.
Вы можете определить, какой банк PCR в настоящее время используется Windows, посмотрев на реестр.
Windows использует только один банк PCR для продолжения измерений загрузки. Все другие активные банки PCR будут расширены с помощью сепаратора, чтобы указать, что они не используются Windows и измерениям, которые, как представляется, из Windows, не следует доверять.
Принудительное применение политик BitLocker с помощью Intune: известные проблемы
Эта статья поможет устранить проблемы, которые могут возникнуть при использовании политики Microsoft Intune для управления бесшумным шифрованием BitLocker на устройствах. Портал Intune указывает, не удалось ли BitLocker зашифровать одно или несколько управляемых устройств.
Чтобы сузить причину проблемы, просмотрите журналы событий, описанные в описании Устранения неполадок BitLocker. Сосредоточься на журналах управления и операций в журналах приложений и служб\Microsoft\Windows\BitLocker-API. В следующих разделах приводится более подробная информация о разрешении указанных событий и сообщений об ошибках:
Если у вас нет четкого следа событий или сообщений об ошибках, другие области для исследования включают следующие:
Сведения о том, как убедиться, что политики Intune правильно применяют BitLocker, см. в этой информации, чтобы убедиться, что BitLocker работает правильно.
Event ID 853. Ошибка: на этом компьютере невозможно найти совместимое устройство безопасности с доверенным модулем платформы (TPM).
Event ID 853 может нести различные сообщения об ошибках в зависимости от контекста. В этом случае сообщение об ошибке Event ID 853 указывает на то, что устройство не имеет TPM. Сведения о событии похожи на следующие:
Причина
Устройство, которое вы пытаетесь защитить, может не иметь чипА TPM или устройство BIOS может быть настроено для отключения TPM.
Разрешение
Чтобы устранить эту проблему, убедитесь в следующем:
Код события 853. Ошибка: шифрование диска BitLocker обнаружено на компьютере для загрузки мультимедиа (CD или DVD)
В этом случае вы увидите ID события 853, и сообщение об ошибке в событии указывает на то, что для устройства доступно загружаемое мультимедиа. Сведения о событии похожи на следующие.
Причина
В процессе предварительной обработки шифрование диска BitLocker записи конфигурации устройства, чтобы установить базовый уровень. Если конфигурация устройства изменится позже (например, если удалить носителю), автоматически запускается режим восстановления BitLocker.
Чтобы избежать этой ситуации, процесс подготовка прекращается, если он обнаруживает съемные загружаемые носитли.
Разрешение
Удалите загружаемые носитли и перезапустите устройство. После перезапуска устройства проверьте состояние шифрования.
Event ID 854: WinRE не настроен
Сведения о событии похожи на следующие:
Не удалось включить бесшумное шифрование. WinRe не настроен.
Ошибка. Этот компьютер не может поддерживать шифрование устройств, так как WinRE не настроен должным образом.
Причина
Windows Среда восстановления (WinRE) — это минимальная операционная Windows, основанная на Windows среды предварительного Windows PE. WinRE включает несколько средств, которые администратор может использовать для восстановления или сброса Windows и диагностики Windows проблем. Если устройство не может запустить обычную Windows, устройство пытается запустить WinRE.
Процесс разработки позволяет шифрование диска BitLocker на диске операционной системы во время Windows этапе разработки pe. Это действие позволяет убедиться, что диск защищен до установки полной операционной системы. Процесс подготовка также создает раздел системы для WinRE, который можно использовать в случае сбоя системы.
Если WinRE не доступен на устройстве, подготовка прекращается.
Разрешение
Эту проблему можно решить, проверив конфигурацию разделов диска, состояние WinRE и конфигурацию загрузчик Windows загрузки. Для этого выполните следующие действия.
Шаг 1. Проверка конфигурации разделов диска
Процедуры, описанные в этом разделе, зависят от разделов диска по умолчанию, которые Windows во время установки. Windows 11 и Windows 10 автоматически создает раздел восстановления, содержащий файл Winre.wim. Конфигурация раздела похожа на следующую.
Чтобы проверить конфигурацию разделов диска, откройте окно командной подсказки и запустите следующие команды:
Если состояние любого из томов не является здоровым или отсутствует раздел восстановления, вам может потребоваться переустановка Windows. Прежде чем это сделать, проверьте конфигурацию Windows изображения, которое вы используете для предварительной настройки. Убедитесь, что на изображении используется правильная конфигурация диска. Конфигурация изображения должна напоминать следующее (этот пример из Microsoft Endpoint Configuration Manager).
Шаг 2. Проверка состояния WinRE
Чтобы проверить состояние WinRE на устройстве, откройте окно командной подсказки и запустите следующую команду:
Выход этой команды похож на следующую.
Если состояние Windows RE не включено, запустите следующую команду, чтобы включить ее:
Шаг 3. Проверка конфигурации Windows загрузки
Если состояние раздела является здоровым, но reagentc /enable command приводит к ошибке, убедитесь, что Windows загрузчик загрузки содержит guID последовательности восстановления. Для этого запустите следующую команду в окне командной подсказки:
Выход этой команды похож на следующую.
Event ID 851: Свяжитесь с производителем для инструкций по обновлению BIOS
Сведения о событии похожи на следующие:
Не удалось включить бесшумное шифрование.
Ошибка. Шифрование диска BitLocker невозможно включить на диске операционной системы. Обратитесь к производителю компьютеров для инструкций по обновлению BIOS.
Причина
Устройство должно иметь унифицированный extensible Firmware Interface (UEFI) BIOS. Шифрование диска Silent BitLocker не поддерживает устаревшую BIOS.
Разрешение
Чтобы проверить режим BIOS, используйте приложение Сведения о системе. Для этого выполните следующие действия:
Выберите Начнитеи введите msinfo32 в поле Поиска.
Убедитесь, что параметр РЕЖИМ BIOS является UEFI, а не устаревшим.
Если параметр РЕЖИМ BIOS является устаревшим, необходимо переключить BIOS в режим UEFI или EFI. Действия для этого являются специфическими для устройства.
Если устройство поддерживает только режим Legacy, вы не можете использовать Intune для управления шифрованием устройств BitLocker на устройстве.
Сообщение об ошибке. Переменная UEFI ‘SecureBoot’ не может быть прочитана
Вы получаете сообщение об ошибке, напоминая следующее:
Ошибка: BitLocker не может использовать безопасную загрузку для целостности, так как переменная UEFI ‘SecureBoot’ не может быть прочитана. Требуемая привилегия не удерживается клиентом.
Причина
Реестр конфигурации платформы (PCR) — это расположение памяти в TPM. В частности, PCR 7 измеряет состояние безопасной загрузки. Шифрование диска Silent BitLocker требует включенной безопасной загрузки.
Разрешение
Эту проблему можно устранить, проверив профиль проверки ПЦР состояния TPM и безопасной загрузки. Для этого выполните следующие действия:
Шаг 1. Проверка профиля проверки ПЦР TPM
Чтобы убедиться, что PCR 7 используется, откройте окно командной подсказки и запустите следующую команду:
В разделе TPM вывода этой команды убедитесь, что параметр профили проверки PCR включает 7, как следует.
Если профиль проверки PCR не включает 7 (например, значения включают 0, 2, 4и 11, но не 7), то не включается безопасная загрузка.
2. Проверка состояния безопасной загрузки
Чтобы проверить состояние безопасной загрузки, используйте Сведения о системе приложение. Для этого выполните следующие действия:
Выберите Начнитеи введите msinfo32 в поле Поиска.
Убедитесь, что параметр «Состояние безопасной загрузки» находится в режиме on, следующим образом:
Если параметр Состояние безопасной загрузки неподдержка, **** вы не можете использовать шифрование Silent BitLocker на этом устройстве.
Кроме того, для проверки состояния безопасной загрузки можно использовать комлет Confirm-SecureBootUEFI. Для этого откройте окно PowerShell с повышенными уровнями и запустите следующую команду:
Если компьютер поддерживает безопасную загрузку и включена безопасная загрузка, этот комдлет возвращает «True».
Если компьютер поддерживает безопасную загрузку и отключит безопасную загрузку, этот комдлет возвращает «False».
Если компьютер не поддерживает безопасную загрузку или является компьютером BIOS (не UEFI), этот кодлет возвращает «Cmdlet, не поддерживаемый на этой платформе».
ID события 846, 778 и 851: ошибка 0x80072f9a
В этом случае развертывается политика Intune для шифрования устройства Windows 11 Windows 10, версия 1809 и хранения пароля восстановления в Azure Active Directory (Azure AD). В рамках конфигурации политики вы выбрали стандартные пользователи, позволяющие включить шифрование во время параметра Azure AD Join.
Развертывание политики не удается и создает следующие события (видимые в папке API для просмотра событий в журнале приложений и служб\Microsoft\Windows\BitLocker):
Событие. Не удалось резервное копирование сведений о восстановлении шифрования диска BitLocker для объема C: в Azure AD.
TraceId:
Событие. Объем BitLocker C: был отсчитан в незащищенное состояние.
Событие. Не удалось включить бесшумное шифрование.
Ошибка. Неизвестный код ошибки HResult: 0x80072f9a.
Эти события относятся к коду ошибки 0x80072f9a.
Причина
Эти события указывают на то, что у пользователя, зарегистрированного на регистрацию, нет разрешения на чтение закрытого ключа в сертификате, который создается в рамках процесса подготовка и регистрации. Поэтому обновление политики bitLocker MDM не удается.
Проблема затрагивает Windows 11 и Windows 10 версии 1809.
Разрешение
Чтобы устранить эту проблему, установите обновление от 21 мая 2019 г.
Сообщение об ошибке. Существуют противоречивые параметры групповой политики для параметров восстановления на дисках операционной системы
Вы получаете сообщение, напоминая следующее:
Ошибка: Шифрование диска BitLocker не может применяться к этому диску, так как на дисках операционной системы существуют противоречивые параметры групповой политики для параметров восстановления. Хранение сведений о восстановлении в службах домена Active Directory не может потребоваться, если не разрешено генерация паролей восстановления. Перед тем как включить BitLocker, убедитесь, что системный администратор разрешит эти конфликты политик.
Разрешение
Чтобы устранить эту проблему, просмотрите параметры объекта групповой политики (GPO) для конфликтов. Дополнительные рекомендации см. в следующем разделе Обзор конфигурации политики BitLocker.
Дополнительные сведения о GPOs и BitLocker см. в справке по групповой политике BitLocker.
Просмотрите конфигурацию политики BitLocker
Сведения об использовании политики вместе с BitLocker и Intune см. в следующих ресурсах:
Intune предлагает следующие типы правоприменения для BitLocker:
Если устройство работает Windows 10 версии 1703 или более поздней версии или Windows 11, поддерживает современное режим ожидания (также известное как Instant Go) и соответствует требованиям HSTI, присоединение устройства к Azure AD запускает автоматическое шифрование устройства. Для обеспечения шифрования устройств не требуется отдельная политика защиты конечной точки.
Если устройство соответствует требованиям HSTI, но не поддерживает современное режим ожидания, необходимо настроить политику защиты конечной точки для обеспечения бесшумного шифрования диска BitLocker. Параметры этой политики должны напоминать следующее:
Ссылки на OMA-URI для этих параметров следуют следующим образом:
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Тип значения: integer
Значение: 1 (1 = require, 0 = Not Configured)
OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Тип значения: integer
Значение: 0 (0 = заблокировано, 1 = разрешено)
Из-за обновления CSP политики BitLocker, если устройство использует Windows 10 версии 1809 или более поздней версии или Windows 11, вы можете использовать политику защиты конечной точки для обеспечения бесшумного шифрования устройств BitLocker, даже если устройство не соответствует требованиям HSTI.
Если для других параметров шифрования диска установлено предупреждение о том, что не настроено, **** необходимо вручную запустить мастер шифрования диска BitLocker.
Если устройство не поддерживает современное режим ожидания, но соответствует требованиям HSTI, и оно использует версию Windows, которая является более ранней Windows 10, версии 1803 или Windows 11, политика защиты конечной точки, которая имеет параметры, описанные в этой статье, доставляет конфигурацию политики на устройство. Однако Windows затем сообщает пользователю включить шифрование диска BitLocker вручную. Для этого пользователь выбирает уведомление. Это действие запускает мастер шифрования диска BitLocker.
В выпуске Intune 1901 предусмотрены параметры, которые можно использовать для настройки автоматического шифрования устройств для устройств автопилота для стандартных пользователей. Каждое устройство должно соответствовать следующим требованиям:
Ссылки на OMA-URI для этих параметров следуют следующим образом:
Этот узел работает вместе с узлами RequireDeviceEncryption и AllowWarningForOtherDiskEncryption. По этой причине при наборе RequireDeviceEncryption до 1, AllowStandardUserEncryption до 1и AllowWarningForOtherDiskEncryption до 0. Intune может обеспечить бесшумное шифрование BitLocker для устройств Автопилота, имеющих стандартные профили пользователей.
Проверка правильной работы BitLocker
Во время регулярных операций шифрование диска BitLocker создает такие события, как Event ID 796 и Event ID 845.
Вы также можете определить, был ли пароль восстановления BitLocker загружен в Azure AD, проверив сведения об устройстве в разделе Устройства Azure AD.
На устройстве проверьте редактор реестра, чтобы проверить параметры политики на устройстве. Проверка записей в следующих подкайлах:
Протокол EFI доверенной среды выполнения
Лицензирование. Корпорация Майкрософт соглашается предоставить вам бесплатно лицензию на все необходимые заявки в отношении разумных и неразмеченных терминов только для того, чтобы сделать, использовать, продавать, предлагать для продажи, импортировать или распространить любую реализацию этой спецификации. «Необходимые заявки» — это заявки, принадлежащие корпорации Майкрософт или патентам, которые технически необходимы для реализации необходимых частей (включая обязательные элементы необязательных частей) этой спецификации, где функциональность, вызвавшая нарушение, подробно описана, а не просто указана в этой спецификации.
1,0. Введение
2,0. структуры данных и акронимы
2,1 структуры данных
2,2. акронимы и соглашения
(Для акронимов, не определенных в этом документе, см. раздел [ TCG06a ] )
Среда выполнения Тритрустед
Протокол дерева EFI 3,0
3,1. Протокол привязки службы EFI в дереве
В этом разделе определяется протокол привязки службы EFI в дереве.
Сводка: Протокол привязки службы деревьев EFI используется для наведения дерева устройств, которые поддерживаются драйвером протокола дерева EFI, а также для создания и уничтожения экземпляров дочернего драйвера протокола дерева EFI, которые могут использовать базовое устройство дерева.
Описание Приложение (или драйвер), которому требуются службы дерева, может использовать одну из служб обработчика протокола, например BS- > локатехандлебуффер (), для поиска устройств, публикующих протокол привязки службы деревьев EFI. Каждое устройство с опубликованным протоколом привязки службы деревьев EFI поддерживает протокол дерева EFI и может быть доступно для использования.
3,2. Протокол EFI TrEE
Параметры
Эта служба предоставляет сведения о возможностях дерева и встроенного по
Получение указателя на журнал событий встроенного по
Эта служба приведет к тому, что драйвер дерева EFI будет расширять событие и (необязательно) записать событие в журнал дерева.
Эта служба отправляет команду непосредственно в дерево.
Описание — _ _ действие древовидного протокола для дерева EFI. Этот экземпляр протокола предоставляет службу загрузки, экземпляр которой создается как драйвер службы загрузки.
Драйверы службы загрузки завершаются при вызове Екситбутсервицес (), и все ресурсы памяти, используемые драйверами служб загрузки, выпускаются для использования в среде операционной системы.
_Перезагрузка _ сигналов _ перезапуска _ службы загрузки — это Синхронное событие, используемое, чтобы убедиться, что определенные действия выполняются после вызова определенной функции интерфейса. в данном случае это очистка, которую необходимо выполнить в ответ на функцию екситбутсервицес (). Екситбутсервицес () не может очищать от имени драйверов, загруженных в систему. Эти драйверы должны сделать это для себя, создав событие, тип которого — это _ _ _ Перезагрузка службы загрузки _ и функция уведомления, которая является функцией в самом драйвере. Затем, когда Екситбутсервицес () завершает свою очистку, он сообщает типу события EVT _ сигнал _ выхода _ _ службы загрузки.
В _ _ вызове функции Multiprotocol протокола дерева EFI представлены сведения о протокола и сведения о состоянии дерева.
Прототип
Указывает контекст вызова.
Вызывающий объект выделяет память для структуры TREE_BOOT_SERVICE_CAPABILITY и задает для поля size размер выделенной структуры. Вызываемый объект заполняет поля сведениями о возможности протокола EFI и текущей информацией о состоянии дерева до количества полей, которые соответствуют размеру переданной структуры.
Связанные определения
Выделенный размер переданной структуры
Версия самой структуры TREE_BOOT_SERVICE_CAPABILITY. Для этой версии протокола основной номер версии должен быть равен 1, а дополнительный номер версии должен быть равен 0.
Версия протокола дерева. Для этой версии протокола основной номер версии должен быть равен 1, а дополнительный номер версии должен быть равен 0.
Поддерживаемые алгоритмы хэширования
Битовая карта поддерживаемых форматов журнала событий (см. выше)
False = отсутствует дерево
Максимальный размер (в байтах) команды, которая может быть отправлена в дерево
Максимальный размер (в байтах) ответа, который может быть предоставлен деревом
4-байтовый идентификатор поставщика (см. раздел [TCG07], » код поставщика возможностей TPM » )
Описание
Протоколкапабилити. size = sizeof ( _ _ возможности службы загрузки дерева _ );
Для этой версии спецификации:
Если параметры this или Протоколкапабилити имеют значение NULL, функциональный вызов вернет _ Недопустимый _ параметр EFI.
Если входные данные Протоколкапабилити. size
Operation completed successfully (Операция выполнена успешно).
Команда завершилась неудачно. Переменная протоколкапабилити не будет заполнена.
Один или несколько параметров неверны. Переменная протоколкапабилити не будет заполнена.
Переменная протоколкапабилити слишком мала для хранения полного ответа. Оно будет частично заполнено (поле требуемого размера будет установлено).
_ _ Вызов функции журнала событий Get для протокола дерева EFI позволяет вызывающему объекту получить адрес определенного журнала событий и его последнюю запись.
Прототип
Параметры
Тип журнала событий, для которого запрашиваются сведения.
Указатель на адрес в памяти журнала событий.
Если в журнале событий содержится более одной записи, это указатель на адрес начала последней записи в журнале событий в памяти. Сведения о том, какие значения возвращаются в этом параметре в особых случаях для пустого журнала событий или журнала событий с одной записью, см. в разделе Описание ниже.
Если в журнале событий отсутствует хотя бы одна запись, поскольку событие превысило область, выделенную для событий, это значение устанавливается равным TRUE. В противном случае значение будет равно FALSE, а журнал событий будет завершен.
Описание
Встроенное по управляет журналом событий измерений, записанных в дереве во время процесса загрузки. В процессе загрузки перед инициализацией платформы UEFI в журнале событий вносится запись для каждого измерения, расширенного в дереве. В среде UEFI каждый раз при вызове Хашложекстендевент для расширения измерения в дереве событие обычно записывается в журнал событий, содержащий расширенное измерение. Если область, выделенная встроенным по для журнала событий, слишком мала для хранения всех добавленных событий, вызов функции указывает, что журнал событий был усечен и в нем отсутствуют записи. Эта версия спецификации требует обслуживания только журнала событий SHA1. Будущие версии этой спецификации могут поддерживать дополнительные журналы событий, поддерживающие различные алгоритмы хэширования.
Область журнала событий, возвращаемая этой функцией, освобождается при вызове Екситбутсервицес (). Вызывающие объекты этого метода не должны обращаться к области после вызова Екситбутсервицес (). Для этой версии спецификации:
Если Евентлогформат не равен _ _ формату журнала событий _ дерева _ TCG _ 1 _ 2, вызов функции должен вернуть _ Недопустимый _ параметр EFI.
Если дерево отсутствует, функция должна установить следующие значения и вернуть данные _ об успешном выполнении EFI:
Для значения Евентлоглокатион должно быть задано начало указанного формата журнала событий в памяти.
Если указан журнал событий:
не содержит событий, тогда Евентлогластентри должен быть установлен в 0.
содержит ровно одну запись, затем Евентлогластентри необходимо задать то же значение, что и Евентлоглокатион
содержит более одного события, затем Евентлогластентри должен быть установлен в начальный адрес последнего события указанного журнала событий.
Возвращенные коды состояния
Operation completed successfully (Операция выполнена успешно).
Один или несколько параметров неверны (например, запрашивается журнал событий, формат которого не поддерживается).
_ _ Вызов функции хашложекстендевент для протокола дерева EFI предоставляет вызывающим объектам возможность расширять и при необходимости регистрировать события, не требуя знания фактических команд TPM. Операция расширения будет выполнена, даже если эта функция не может создать запись в журнале событий (например, из-за переполнения журнала событий).
Прототип
Параметры
Указывает контекст вызова.
Битовая карта, предоставляющая дополнительные сведения (см. ниже).
Физический адрес начала буфера данных
Длина буфера в байтах, на которую ссылается дататохаш.
Указатель на буфер данных, содержащий сведения о событии.
Размер самого заголовка события (sizeof (TrEE_EVENT_HEADER)).
Версия заголовка. Для этой версии спецификации значение должно быть равно 1.
Индекс версии PCR, которая должна быть расширена (0-23).
Тип события, которое должно быть расширено (и при необходимости зарегистрировано).
Значения флагов
Переменная flags представляет собой битовую карту, предоставляющую дополнительные данные следующим образом.
Этот бит должен быть установлен, если событие должно быть расширено, но не занесено в журнал.
Этот бит должен быть установлен, когда цель заключается в измерении образа PE/COFF.
Описание
_ _ Вызов функции расширения журнала хэша протокола дерева EFI вычисляет измерение буфера данных (возможно, содержащего двоичный образ PE/COFF) и заставляет драйвер дерева расширить измерение. Кроме того, служба дополнительно создает запись в журнале событий и добавляет ее в журнал событий для каждого формата журнала событий, поддерживаемого службой. Служба позволяет вызывающему объекту использовать дерево, не зная ничего о конкретных командах дерева.
Использование этой функции для измерения образов PE/COFF должно быть выполнено до того, как к образу будут применены перемещения. Примечание. Используйте этот метод для измерения образов PE/COFF с осторожностью. Обычно реализации, которые загружают образы PE/COFF, чередуют важные данные в процессе загрузки из образа и могут изменять выравнивание раздела изображения в памяти. В результате вычисления хэш-кода изображения в памяти не соответствует фактическому измерению изображения, как оно должно быть правильно вычислено при загрузке с носителя.
При вызове функция должна выполнять следующие действия:
Если любой из параметров this, Дататохаш или Event имеет значение NULL, функция должна вернуть _ Недопустимый _ параметр EFI.
Если событие. size меньше, чем Event. Header. Хеадерсизе + sizeof (UINT32), функция должна возвращать _ Недопустимый _ параметр EFI.
Если событие. Header. Пкриндекс имеет значение, не равное 0 – 23 включительно, функция должна возвращать _ Недопустимый _ параметр EFI.
Если битовая карта флагов имеет _ бит образа PE COFF, _ но образ PE/COFF поврежден или не распознан, функция должна вернуть EFI не _ поддерживается.
Функция допускает любое значение для параметра Event. Header. EventType.
Функция должна вычислить дайджест (измерение) данных, начиная с Дататохаш, с длиной Дататохашлен. Если _ _ задан бит образа PE COFF, функция должна вычислить измерение PE/COFF в соответствии с «измерением образа PE/COFF» в приложении а ниже.
Функция должна создать запись журнала событий TCG следующим образом: (Примечание. _ _ Структура событий TCG PCR определена в [ TCG06b ] и должна считаться согласованной с байтом.)
Функция может создавать аналогичные записи журнала событий для других поддерживаемых форматов журнала событий.
Если _ _ созданная выше запись журнала событий PCR для события TCG не помещается в области, выделенной для журнала событий дерева TCG 1,2, функция должна вернуть _ том EFI _ Full.
Если встроенное по поддерживает дополнительные форматы журнала событий, а любое событие, созданное для этих журналов событий, превысит область, выделенную для журнала событий, функция должна вернуть _ том EFI » _ Full».
Функция должна добавлять события, созданные в соответствующие журналы событий, и служба должна обновить свой внутренний указатель до начала последнего события для каждого журнала событий.
Возвращены коды состояния.
Operation completed successfully (Операция выполнена успешно).
Команда завершилась неудачно.
Операция расширения была выполнена, но событие не удалось записать в один или несколько журналов событий.
Один или несколько параметров неверны.
Тип изображения PE/COFF не поддерживается.
Эта служба позволяет отправлять команды в дерево.
Прототип
Параметры
Указывает контекст вызова.
Размер блока входных параметров дерева.
Указатель на блок входного параметра дерева.
Размер блока выходного параметра дерева.
Указатель на блок выходного параметра дерева.
Описание
_ _ Вызов функции командной строки для протокола дерева EFI обеспечивает сквозную возможность от вызывающего к дереву системы.
Вызывающий объект отвечает за создание потока байтов команды для отправки в дерево и также отвечает за интерпретацию результирующего потока байтов, возвращаемого деревом. Дерево операторов in и out для каждой команды дерева определено в других местах.
Обратите внимание, что возвращенные коды состояния соответствуют результату вызова функции, а не к успеху (или сбою) базовой команды TrEE.
Доверенный платформенный модуль 2,0 должен иметь доступ к его постоянному хранилищу до завершения вызова Екситбутсервицес. Если реализация TPM 2,0 может не иметь доступа к постоянному хранилищу после вызова Екситбутсервицес, обратитесь в корпорацию Майкрософт для получения дополнительных требований.
Возвращенные коды состояния
Потоковый байт команды успешно отправлен на устройство, и ответ был успешно получен.
Команда не была успешно отправлена на устройство, или не удалось получить ответ от устройства.
Один или несколько параметров неверны.
Выходной блок параметров слишком мал.
Ссылку
корпорация майкрософт, » Windows формат переносимого исполняемого файла Authenticode, » версия 1,0, 21 марта 2008 г.
Браднер (bradner, S., » Ключевые слова для использования в RFC для указания уровней требований, » IETF RFC 2119, 1997 марта.
Организация TCG, » протоколы TCG EFI, » Версия 1,20 редакции 1,00, 9 июня, 2006.
Организация TCG, » Спецификация платформы EFI для TCG, » Версия 1,20, редакция 1,0, 7 июня, 2006.
Организация TCG, » Реестр идентификаторов поставщика TCG, » Версия 1,0, версия 0,1, 31 августа 2007.
UEFI, » спецификация единый интерфейс EFI, » Версия 2.3.1 ошибки C,
Приложение а. статический корневой элемент измерений доверия
На высоком уровне встроенное по несет ответственность за измерение следующих компонентов во время загрузки:
Встроенное по платформы, которое содержит или измеряет службы загрузки UEFI и службы среды выполнения UEFI
Относящиеся к безопасности переменные, связанные с встроенным по платформы
Драйверы UEFI или приложения загрузки, загружаемые отдельно
Переменные, связанные с отдельно загруженными драйверами UEFI или приложениями загрузки UEFI
Приведенные выше измерения определяются спецификацией платформы EFI для TCG [ TCG06b ] sections 5,1-5,5 и не упоминаются далее в этом документе. Измерения в PCR [ 1 ] и PCR [ 3 ] являются необязательными в зависимости от конфигурации платформы.
Поэтому встроенное по платформы, которое придерживается политики, должно измерять следующие значения в PCR [ 7 ] :
Содержимое переменной PK
Содержимое переменной KEK
Содержимое _ _ _ переменной базы данных защиты образа EFI
Содержимое файла EFI _ image _ Security _ DATABASE1 Variable
Содержимое переменной безопасной загрузки
Примечание о реализации
Измерение образа PE/COFF
Измерение конфигурации UEFI в PCR [ 7]
Если платформа предоставляет режим отладчика встроенного по, который может использоваться до среды UEFI или платформа предоставляет отладчик для среды UEFI, платформа должна расширить _ событие действия EFI EV, _ как указано в [ TCG06B, ] в PCR [ 7, ] прежде чем разрешить использование отладчика. Строка события должна иметь значение «режим отладки UEFI». Кроме того, платформа должна создать запись журнала событий TCG следующим образом:
Платформа может создавать аналогичные записи журнала событий для других поддерживаемых форматов журнала событий.
Перед выполнением любого кода, который не прошел криптографическую проверку подлинности как предоставляемый производителем платформы, встроенное по производителя платформы должно измерять следующие значения в порядке, указанном в параметре » _ _ _ Тип события конфигурации драйвера EV EFI», _ в PCR [ 7 ] :
Значение переменной безопасной загрузки
Значение переменной PK
Значение переменной KEK
EFI _ image _ Security _ _ GUID/EFI Image (Защита образа) _ _ _ значение переменной базы данных
Интерфейс EFI _ image _ Security _ _ GUID/EFI _ image _ Security _ DATABASE1 значение переменной
Значение переменной безопасной загрузки
Значение переменной PK
Значение переменной KEK
EFI _ image _ Security _ _ GUID/EFI Image (Защита образа) _ _ _ значение переменной базы данных
Интерфейс EFI _ image _ Security _ _ GUID/EFI _ image _ Security _ DATABASE1 значение переменной
Пример измерения для измерений PCR [ 7 ] доступен по запросу корпорации Майкрософт.