通过

固件更新后的 BitLocker 检查

  • 项目

此测试确定设备在固件更新过程中是否已命中恢复。 BitLocker 必须在固件更新前启用,测试应在更新后运行。

测试详细信息

   
规范
  • Device.DevFund.Firmware.UpdateDriverPackage
平台
  • Windows 10,客户端版本 (x86)
  • Windows 10,客户端版本 (x64)
  • Windows Server 2016 (x64)
  • Windows 10,客户端版本 (Arm64)
支持的版本
  • Windows 10
  • Windows 10 版本 1511
  • Windows 10 版本 1607
  • Windows 10 版本 1703
  • Windows 10 版本 1709
  • Windows 10 版本 1803
  • Windows 10 版本 1809
  • Windows 10 版本 1903
  • Windows 10 的下一次更新
预计运行时间(以分钟为单位) 5
类别 方案
超时(以分钟为单位) 300
需要重启 false
需要特殊配置 false
类型 automatic

 

其他文档

此功能区域中的测试可能会有其他文档,包括先决条件、设置和故障排除信息,这些内容可在以下主题中找到:

运行测试

此测试返回“通过”或“失败”。

故障排除

有关 HLK 测试失败的常规故障排除,请参阅排查 Windows HLK 测试失败问题

如果测试失败,则意味着此系统已命中 BitLocker 恢复。 请在事件查看器中的以下两个位置收集 BitLocker 事件:

  • 应用程序和服务日志 > Microsoft > Windows > BitLocker-API > 管理

  • 按使用 BitLocker 启动的事件源筛选 Windows 日志 > 系统

事件应给出命中恢复的详细原因。 了解并修复 BitLocker 恢复的根本原因后,在从未命中过 BitLocker 恢复的系统上运行测试,以获得通过结果。

如果系统使用安全启动进行完整性检查 (PCR[7]),请参阅以下步骤了解更多诊断信息。

  1. 恢复可能由固件更新包触发。

  2. 如果系统有 TPM2.0,则需要 PCR [7] 支持。 否则,PCR [7] 支持是可选的。 Tree EFI 协议规范包含有关 PCR [7] 支持的详细信息。

  3. 通过从提升的命令提示符发出以下命令,查看此系统是否支持 PCR [7] 并由 BitLocker/设备加密使用:

    Manage-bde -protectors -get %systemdrive%

    如果 PCR 验证配置文件显示 PCR 7、11(使用安全启动进行完整性验证),则表示系统配置正确。

    如果 PCR 验证配置文件未显示 BitLocker 使用安全启动进行完整性验证(例如,PCR 验证配置文件显示 PCR 0、2、4、11),这表明 BitLocker 无法使用 PCR [7],并且可能会向事件日志(位于“应用程序和服务日志”>“Microsoft”>“Windows”>“BitLocker-API”>“管理”中)记录以下事件之一。

    • BitLocker 无法使用安全启动来确保完整性,因为它已被禁用。

    • BitLocker 无法使用安全启动来确保完整性,因为所需的 UEFI 变量 X 不存在。

    • BitLocker 无法使用安全启动来确保完整性,因为无法读取 UEFI 变量 X。 错误消息:X。

    • BitLocker 无法使用安全启动来确保完整性,因为变量 X 的预期 TCG 日志条目丢失或无效。

    • BitLocker 无法使用安全启动来确保完整性,因为 OS 加载程序颁发机构的预期 TCG 日志条目丢失或无效。

    • BitLocker 无法使用安全启动来确保完整性,因为 OS 加载程序颁发机构的预期 TCG 日志条目的结构无效。 该事件应为 EV_EFI_VARIABLE_AUTHORITY 事件。 事件数据必须格式化为 EFI_VARIABLE_DATA 结构,其中 VariableName 设置为 EFI_IMAGE_SECURITY_DATABASEGUID,UnicodeName 设置为“db”。

    • BitLocker 无法使用安全启动来确保完整性,因为 OS 加载程序颁发机构的预期 TCG 日志条目无效。 EFI_VARIABLE_DATA.VariableData 字段的内容应该是 EFI_SIGNATURE_DATA 结构,其中 SignatureOwner 设置为 GUID {77fa9abd-0359-4d32-bd60-28f4e78f784b} (Microsoft)。

    • BitLocker 无法使用安全启动来确保完整性,因为 OS 加载程序颁发机构的预期 TCG 日志条目无效。 在安全启动“db”签名数据库中找不到包含在 OS 颁发机构事件中的 EFI_SIGNATURE_DATA 结构。

    • BitLocker 无法使用安全启动来确保完整性,因为无法将启动加载程序的签名验证为链接到受信任 Microsoft 根证书的 Windows 签名。

    • BitLocker 无法使用安全启动来确保完整性,因为 OS 加载程序颁发机构的 TCG 日志条目无效。 在启动加载程序的已验证证书链中找不到来自 OS 颁发机构事件的 EFI_SIGNATURE_DATA 结构中包含的签名。

    • BitLocker 无法使用安全启动来确保完整性,因为预期的 TCG 日志分隔符条目丢失或无效。

    • BitLocker 无法使用安全启动来确保完整性,因为 PCR [7] 的 TCG 日志包含无效条目。

  4. 如果 BitLocker/设备加密正在使用步骤 3 中的 manage-bde 命令报告的 PCR [7] 并且系统命中恢复,你将在“Windows 日志”>“系统”中看到事件 ID 为 24658 的 BitLocker-Driver 事件,该事件指出安全启动配置发生意外更改。 若要诊断此问题,请在“应用程序和服务日志”>“Microsoft”>“Windows”>“BitLocker-API”>“管理”中找到两个最新的 BitLocker-API 事件(事件 ID 817)。 其中一个 817 事件的时间戳应早于事件 24658 的时间戳;另一个 817 事件的时间戳应晚于事件 24658 的时间戳。 当 BitLocker 将密钥密封到使用 PCR [7] 的 TPM 时,将记录事件 817。 在“详细信息”选项卡中,可以找到记录此事件的启动会话的 PCR [7] 值。 鉴于系统在重启期间命中恢复,这两个启动会话中的 PCR [7] 值应该不同。 这两个 817 事件中记录的 PCR [7] 值将说明差异。 在事件 817 中,还会记录该启动会话的 TCG 日志。 如果有分析 TCG 日志的工具,它将显示有关 PCR 扩展的详细信息。 如果没有这样的工具,可以执行以下操作:

    1. 将 TBSLogGenerator.exe 从 Windows HLK 控制器复制到测试计算机。 它位于 %systemdrive%\Program Files (x86) \Windows Kits\8.1\Hardware Certification Kit\Tests\<architecture>\NTTEST\BASETEST\ngscb,其中 <体系结构> 是测试计算机的体系结构。 这可以是 amd64、x86 或 Arm。

      当 TBSLogGenerator.exe 运行时,TBSLogGenerator.exe 以用户可读的格式转储 PCR 值和 TCG 日志以用于启动会话。

    2. 重复执行触发 BitLocker 恢复的步骤。 对于跨 BitLocker 恢复的两个启动会话,请使用 TBSLogGenerator.exe 转储 PCR 值和 TCG 日志。

    3. 分析两组 PCR 值和 TCG 日志以找出差异。