Windows Bitlocker TPM的PCR（平台寄存器）含义

AlphaRabbit

前言：由于这些PCR寄存器的含义我并不完全了解，因此只解释其中几个。


在Bitlocker组策略里有这个设置“为本地UEFI固件平台提供TPM验证设置”和“为BIOS提供TPM验证设置”，其中就有PCR寄存器的相关信息。


PCR叫做“平台状态寄存器”，操作系统将平台系统的状态，以散列（哈希）形式存储在TPM里，用于验证启动链条是否遭到篡改。


在这里，我们讲解基于UEFI平台的，常用的几个PCR寄存器数据含义。


PCR 0：核心系统固件可执行代码——这个说的就是UEFI固件（俗称BIOS）的二进制代码啦，你升级降级BIOS时这个就会变。


PCR 2：扩展或可插入执行代码——这个指的是Option ROM代码，也就是显卡BIOS之类的东西，你更换显卡或者别的什么外设时这个会变。


PCR 4：引导管理器——就是启动程序，例如Windows的Bootmgr。


PCR 7：安全引导状态——这个有点复杂，先让我讲个细节。


微软有两个安全引导根证书，一个叫“Microsoft Corporation UEFI CA 2011”，另一个叫“Microsoft Windows Production CA 2011”。前者用于给微软可信的合作伙伴签发证书（例如Linux，主流Linux发行版是用Shim来进行安全启动支持的，而Shim就被UEFI CA 2011签名），后者是专供Windows产品使用。


只有在你的启动链条上只有Microsoft Windows Production CA 2011根所签发的固件和引导程序时，PCR 7才可以生效（如何看你是否符合要求呢？答案：你打开msinfo32，找PCR 7绑定，如果是可以绑定/绑定，那就是支持）。



因此，PCR 7的含义就是：记录安全引导是否还是用Microsoft Windows Production CA 2011根建立的信任关系，如果启动链条中有部分签名不是Microsoft Windows Production CA 2011根签发的，你懂的。


PCR 11：Bitlocker访问控制——这个不可关闭，这个是验证Bitlocker锁定状态的，如果你选择不开启这个，那Bitlocker就不会生效。


讲完了PCR，那么该讲讲微软的默认实现了：


在安全引导可用且可以绑定PCR 7的状态下，微软会调用PCR 7和PCR 11来进行Bitlocker加密和平台完整性验证。此时，Bitlocker会调用安全引导来验证引导代码、第三方硬件固件和UEFI固件。


如果安全引导不可用（未开启、无法绑定到Microsoft Windows Production CA 2011根），那么Windows会调用PCR 0 2 4 11来进行平台完整性验证，此时，Windows不再使用安全引导验证，而是采用散列值验证平台完整性。


这两者区别在于：如果是前者（PCR 7可用），前者会使用安全引导数据库中的CA证书来验证平台完整性，而如果是后者，Windows会调用记录在TPM中的散列值（SHA-256之类的）验证平台完整性。


前者（PCR 7+11）提供了很高的灵活度，确保了升级BIOS之类的不会导致意外的Bitlocker要求你提供恢复密钥，后者显得不太灵活一些。


此外，不要讨论BlackLouts UEFI Bootkit可不可以绕过上述默认配置，原因在下面。

BlackLouts攻击流程有一步是：暂停Bitlocker，然后重启后Bitlocker会记录一个新的PCR寄存器数据，然而这时候BlackLouts加载完毕，所以记录的是恶意PCR寄存器数据。

防范的方式也很简单，看下图。




设置为已禁用就OK，请注意：这会给你做BIOS升级之类的带来麻烦，如无必要不要如此设置。