查看: 1697|回复: 0
收起左侧

[分享] Windows Bitlocker TPM的PCR(平台寄存器)含义

[复制链接]
AlphaRabbit
头像被屏蔽
发表于 2023-4-16 09:17:54 | 显示全部楼层 |阅读模式
本帖最后由 AlphaRabbit 于 2023-4-16 09:28 编辑




前言:由于这些PCR寄存器的含义我并不完全了解,因此只解释其中几个。



在Bitlocker组策略里有这个设置“为本地UEFI固件平台提供TPM验证设置”和“为BIOS提供TPM验证设置”,其中就有PCR寄存器的相关信息。


PCR叫做“平台状态寄存器”,操作系统将平台系统的状态,以散列(哈希)形式存储在TPM里,用于验证启动链条是否遭到篡改。


在这里,我们讲解基于UEFI平台的,常用的几个PCR寄存器数据含义。


PCR 0:核心系统固件可执行代码——这个说的就是UEFI固件(俗称BIOS)的二进制代码啦,你升级降级BIOS时这个就会变。


PCR 2:扩展或可插入执行代码——这个指的是Option ROM代码,也就是显卡BIOS之类的东西,你更换显卡或者别的什么外设时这个会变。


PCR 4:引导管理器——就是启动程序,例如Windows的Bootmgr。


PCR 7:安全引导状态——这个有点复杂,先让我讲个细节。


微软有两个安全引导根证书,一个叫“Microsoft Corporation UEFI CA 2011”,另一个叫“Microsoft Windows Production CA 2011”。前者用于给微软可信的合作伙伴签发证书(例如Linux,主流Linux发行版是用Shim来进行安全启动支持的,而Shim就被UEFI CA 2011签名),后者是专供Windows产品使用。


只有在你的启动链条上只有Microsoft Windows Production CA 2011根所签发的固件和引导程序时,PCR 7才可以生效(如何看你是否符合要求呢?答案:你打开msinfo32,找PCR 7绑定,如果是可以绑定/绑定,那就是支持)。



因此,PCR 7的含义就是:记录安全引导是否还是用Microsoft Windows Production CA 2011根建立的信任关系,如果启动链条中有部分签名不是Microsoft Windows Production CA 2011根签发的,你懂的。


PCR 11:Bitlocker访问控制——这个不可关闭,这个是验证Bitlocker锁定状态的,如果你选择不开启这个,那Bitlocker就不会生效。


讲完了PCR,那么该讲讲微软的默认实现了:


在安全引导可用且可以绑定PCR 7的状态下,微软会调用PCR 7和PCR 11来进行Bitlocker加密和平台完整性验证。此时,Bitlocker会调用安全引导来验证引导代码、第三方硬件固件和UEFI固件。


如果安全引导不可用(未开启、无法绑定到Microsoft Windows Production CA 2011根),那么Windows会调用PCR 0 2 4 11来进行平台完整性验证,此时,Windows不再使用安全引导验证,而是采用散列值验证平台完整性。


这两者区别在于:如果是前者(PCR 7可用),前者会使用安全引导数据库中的CA证书来验证平台完整性,而如果是后者,Windows会调用记录在TPM中的散列值(SHA-256之类的)验证平台完整性。


前者(PCR 7+11)提供了很高的灵活度,确保了升级BIOS之类的不会导致意外的Bitlocker要求你提供恢复密钥,后者显得不太灵活一些。


此外,不要讨论BlackLouts UEFI Bootkit可不可以绕过上述默认配置,原因在下面。

BlackLouts攻击流程有一步是:暂停Bitlocker,然后重启后Bitlocker会记录一个新的PCR寄存器数据,然而这时候BlackLouts加载完毕,所以记录的是恶意PCR寄存器数据。

防范的方式也很简单,看下图。

QQ截图20230416091619.png


设置为已禁用就OK,请注意:这会给你做BIOS升级之类的带来麻烦,如无必要不要如此设置。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:48 , Processed in 0.141174 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表