Поделиться через

Проверка BitLocker после обновления встроенного ПО

  • Статья

Этот тест определяет, удалось ли устройству восстановиться во время обновления встроенного ПО. BitLocker необходимо включить перед обновлением встроенного ПО, а тест следует запустить после обновления.

Сведения о тесте

   
Характеристики
  • Device.DevFund.Firmware.UpdateDriverPackage
Платформы
  • Windows 10, клиентские выпуски (x86)
  • Windows 10, клиентские выпуски (x64)
  • Windows Server 2016 (x64)
  • Windows 10, клиентские выпуски (Arm64)
Поддерживаемые выпуски
  • Windows 10
  • Windows 10 версии 1511
  • Windows 10, версия 1607
  • Windows 10 версии 1703
  • Windows 10 версии 1709
  • Windows 10 версии 1803
  • Windows 10, версия 1809
  • Windows 10 версии 1903
  • Следующее обновление до Windows 10
Ожидаемое время выполнения (в минутах) 5
Категория Сценарий
Время ожидания (в минутах) 300
Требуется перезагрузка false
Требуется специальная конфигурация false
Тип automatic

 

Дополнительная документация

Тесты в этой области функций могут содержать дополнительную документацию, включая предварительные требования, сведения о настройке и устранении неполадок, которые можно найти в следующих разделах:

Запуск теста

Тест возвращает значение Пройдено или Сбой.

Устранение неполадок

Общие сведения об устранении неполадок при тестировании HLK см. в статье Устранение неполадок тестов HLK в Windows.

Если тест завершается сбоем, это означает, что эта система достигла восстановления BitLocker. Соберите события BitLocker в средстве просмотра событий в двух расположениях:

  • Журналы > приложений и служб Microsoft > Windows > BitLocker-API > Management

  • Фильтрация журналов > Windows Система по источникам событий, запущенных с BitLocker

События должны содержать подробные причины, по которой происходит восстановление. После того как основная причина восстановления BitLocker будет понята и устранена, выполните тест в системе, которая никогда не выполняла восстановление BitLocker, чтобы получить результат прохождения.

Если система использует безопасную загрузку для обеспечения целостности проверка (PCR[7]), дополнительные сведения о диагностике см. в следующих шагах.

  1. Восстановление может быть активировано пакетом обновления встроенного ПО.

  2. Если в системе используется TPM2.0, требуется поддержка PCR [7]. В противном случае поддержка PCR [7] является необязательной. Спецификация протокола EFI дерева содержит сведения о поддержке PCR [7].

  3. Проверьте, поддерживает ли эта система PCR [7] и используется ли шифрованием BitLocker или устройства, выполнив следующую команду из командной строки с повышенными привилегиями:

    Manage-bde -protectors -get %systemdrive%

    Если профиль проверки PCR отображает PCR 7, 11 (использует безопасную загрузку для проверки целостности), система настроена правильно.

    Если профиль проверки PCR не показывает, что BitLocker использует безопасную загрузку для проверки целостности (например, в профиле проверки PCR указано PCR 0, 2, 4, 11), это означает, что BitLocker не может использовать PCR [7] и одно из следующих событий может быть зарегистрировано в журнале событий, который находится в журнале приложений и служб > Microsoft > Windows > BitLocker-API > Management.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как она отключена.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как отсутствует необходимая переменная UEFI X.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как не удалось прочитать переменную UEFI X. Сообщение об ошибке: X.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как ожидаемая запись журнала TCG для переменной X отсутствует или недопустимая.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как ожидаемая запись журнала TCG для центра загрузки ОС отсутствует или недопустима.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как ожидаемая запись журнала TCG для центра загрузки ОС имеет недопустимую структуру. Ожидается, что событие будет EV_EFI_VARIABLE_AUTHORITY. Данные события должны быть отформатированы в виде структуры EFI_VARIABLE_DATA с параметром VariableName, равным EFI_IMAGE_SECURITY_DATABASEGUID, а Для Юникода — значение db.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как ожидаемая запись журнала TCG для центра загрузки ОС недопустима. Содержимое EFI_VARIABLE_DATA. Поле VariableData должно быть структурой EFI_SIGNATURE_DATA с идентификатором GUID {77fa9abd-0359-4d32-bd60-28f4e78f784b} (Майкрософт).

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как ожидаемая запись журнала TCG для центра загрузки ОС недопустима. Не удалось найти структуру EFI_SIGNATURE_DATA, содержащуюся в событии центра ОС, в базе данных сигнатуры "db" безопасной загрузки.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как подпись загрузчика не может быть проверена как подпись Windows, привязанная к доверенному корневому сертификату Майкрософт.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как запись журнала TCG для центра загрузки ОС недопустима. Не удалось найти подпись, содержащуюся в структуре EFI_SIGNATURE_DATA события центра ОС, в цепочке проверенных сертификатов загрузчика.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как ожидаемая запись разделителя журнала TCG отсутствует или недопустимая.

    • BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как журнал TCG для PCR [7] содержит недопустимые записи.

  4. Если шифрование BitLocker или устройства использует PCR [7], как указано в команде manage-bde на шаге 3, и восстановление системы достигается, в системе журналов > Windows появится событие BitLocker-Driver с идентификатором события 24658, указывающее, что конфигурация безопасной загрузки неожиданно изменилась. Чтобы диагностировать проблему, найдите два последних события BitLocker-API (идентификатор события 817) в разделе Журналы > приложений и служб Microsoft > Windows > BitLocker-API > Management. Метка времени одного из событий 817 должна быть раньше, чем у события 24658; Метка времени другого события 817 должна быть позже. Событие 817 регистрируется, когда BitLocker запечатывает ключ в TPM, где используется PCR [7]. На вкладке Сведения можно найти значение PCR [7] для сеанса загрузки, в котором регистрируется это событие. Учитывая, что система столкнулась с восстановлением во время перезагрузки, значения PCR [7] в этих двух сеансах загрузки должны отличаться. Значения PCR [7], зарегистрированные в этих двух событиях 817, покажут разницу. В случае 817 журнал TCG для этого сеанса загрузки также регистрируется. Если у вас есть средство для синтаксического анализа журнала TCG, оно будет содержать подробные сведения о расширении PCR. Если у вас нет такого средства, вы можете сделать следующее:

    1. Скопируйте TBSLogGenerator.exe с контроллера Windows HLK на тестовый компьютер. Он находится в папке %systemdrive%\Program Files (x86)\Windows Kits\8.1\Hardware Certification Kit\Tests\<architecture>\NTTEST\BASETEST\ngscb, где <архитектура> — это архитектура тестового компьютера. Это может быть amd64, x86 или Arm.

      TBSLogGenerator.exe сбрасывает значения PCR и журнал TCG в понятном для пользователя формате для сеанса загрузки при запуске TBSLogGenerator.exe .

    2. Повторите действия, которые активируют восстановление BitLocker. Для обоих загрузочных сеансов восстановления BitLocker используйте TBSLogGenerator.exe для дампа значений PCR и журналов TCG.

    3. Чтобы найти разницу, проанализируйте два набора значений PCR и журналы TCG.