펌웨어 업데이트 후 BitLocker 확인

이 테스트는 펌웨어 업데이트 프로세스 중에 디바이스가 복구에 도달했는지 여부를 확인합니다. BitLocker는 펌웨어 업데이트 전에 사용하도록 설정해야 하며, 업데이트 후에 테스트를 실행해야 합니다.

테스트 세부 정보

추가 설명서

이 기능 영역의 테스트에는 다음 항목에서 찾을 수 있는 필수 조건, 설정, 문제 해결 정보를 포함한 추가 설명서가 있을 수 있습니다.

• Device.DevFund 추가 설명서

테스트 실행

테스트는 Pass 또는 Fail을 반환합니다.

문제 해결

HLK 테스트 실패의 일반적인 문제 해결은 Windows HLK 테스트 실패 문제 해결을 참조하세요.

테스트가 실패하면 이 시스템이 BitLocker 복구에 도달했음을 의미합니다. 다음 두 위치에 있는 이벤트 뷰어에서 BitLocker 이벤트를 수집하세요.

• 애플리케이션 및 서비스 로그 > Microsoft > Windows > BitLocker-API > 관리

• BitLocker로 시작된 이벤트 원본별 Windows 로그 > 시스템 필터링

이벤트는 복구가 적중되는 자세한 이유를 제공해야 합니다. BitLocker 복구의 근본 원인을 파악하고 수정한 후 BitLocker 복구에 적중한 적이 없는 시스템에서 테스트를 실행하여 통과 결과를 가져옵니다.

시스템에서 무결성 검사(PCR[7])를 위해 보안 부팅을 사용하는 경우 자세한 진단 정보는 다음 단계를 참조하세요.

1. 복구는 펌웨어 업데이트 패키지에 의해 트리거될 수 있습니다.

2. 시스템에 TPM2.0이 있는 경우 PCR[7] 지원이 필요합니다. 그렇지 않으면 PCR[7] 지원은 선택 사항입니다. 트리 EFI 프로토콜 사양에는 PCR[7] 지원에 대한 세부 정보가 있습니다.

3. 이 시스템이 PCR[7]을 지원하고 관리자 권한 명령 프롬프트에서 다음 명령을 실행하여 BitLocker/Device Encryption에 사용되는지 확인합니다.

   Manage-bde -protectors -get %systemdrive%
   

   PCR 유효성 검사 프로필에 PCR 7, 11(무결성 유효성 검사를 위해 보안 부팅 사용)이 표시되면 시스템이 올바르게 구성된 것입니다.

   PCR 유효성 검사 프로필에 BitLocker가 무결성 유효성 검사를 위해 보안 부팅을 사용하는 것으로 표시되지 않는 경우(예: PCR 유효성 검사 프로필에 PCR 0, 2, 4, 11이 표시됨) BitLocker가 PCR[7]을 사용할 수 없으며 다음 이벤트 중 하나가 애플리케이션 및 서비스 로그 > Microsoft > Windows > BitLocker-API > 관리에 있는 이벤트 로그에 로그인될 수 있음을 나타냅니다.

   • BitLocker는 비활성화되어 있으므로 보안 부팅을 무결성에 사용할 수 없습니다.

   • 필요한 UEFI 변수 X가 없으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다.

   • UEFI 변수 X를 읽을 수 없으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다. 오류 메시지: X.

   • 변수 X에 대한 예상 TCG 로그 항목이 없거나 잘못되었으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다.

   • OS 로더 기관에 대한 예상 TCG 로그 항목이 없거나 잘못되었으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다.

   • OS 로더 기관에 대한 예상 TCG 로그 항목의 구조가 잘못되었기 때문에 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다. 이 이벤트는 EV_EFI_VARIABLE_AUTHORITY 이벤트가 될 것으로 예상됩니다. 이벤트 데이터는 VariableName이 EFI_IMAGE_SECURITY_DATABASEGUID로 설정되고 UnicodeName이 'db'로 설정된 EFI_VARIABLE_DATA 구조체로 형식이 지정되어야 합니다.

   • OS 로더 기관에 대한 예상 TCG 로그 항목이 잘못되었으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다. EFI_VARIABLE_DATA.VariableData 필드의 내용은 SignatureOwner가 GUID {77fa9abd-0359-4d32-bd60-28f4e78f784b}(Microsoft)로 설정된 EFI_SIGNATURE_DATA 구조체여야 합니다.

   • OS 로더 기관에 대한 예상 TCG 로그 항목이 잘못되었으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다. OS 기관 이벤트에 포함된 EFI_SIGNATURE_DATA 구조를 보안 부팅 'db' 서명 데이터베이스에서 찾을 수 없습니다.

   • 부팅 로더의 서명을 신뢰할 수 있는 Microsoft 루트 인증서에 연결된 Windows 서명으로 유효성을 검사할 수 없으므로 BitLocker는 보안 부팅을 무결성에 사용할 수 없습니다.

   • OS 로더 기관에 대한 TCG 로그 항목이 잘못되었으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다. OS 기관 이벤트의 EFI_SIGNATURE_DATA 구조에 포함된 서명을 부팅 로더의 확인된 인증서 체인에서 찾을 수 없습니다.

   • 예상 TCG 로그 구분 기호 항목이 없거나 잘못되었으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다.

   • PCR[7]에 대한 TCG 로그에 잘못된 항목이 포함되어 있으므로 BitLocker는 무결성을 위해 보안 부팅을 사용할 수 없습니다.

4. BitLocker/Device Encryption이 3단계의 manage-bde 명령에서 보고한 대로 PCR[7]을 사용하고 시스템이 복구에 성공하는 경우 이벤트 ID가 24658인 Windows Logs > System에서 보안 부팅 구성이 예기치 않게 변경되었음을 나타내는 BitLocker-Driver 이벤트가 표시됩니다. 문제를 진단하려면 애플리케이션 및 서비스 로그 > Microsoft > Windows > BitLocker-API > Management에서 가장 최근의 BitLocker-API 이벤트 두 개(이벤트 ID 817)를 찾습니다. 817 이벤트 중 하나의 타임스탬프는 이벤트 24658보다 이전이어야 합니다. 다른 817 이벤트의 타임스탬프는 이후여야 합니다. BitLocker가 PCR[7]이 사용되는 TPM에 키를 봉인하면 이벤트 817이 기록됩니다. 세부 정보 탭에서 이 이벤트가 기록되는 부팅 세션에 대한 PCR[7] 값을 찾을 수 있습니다. 다시 부팅하는 동안 시스템이 복구에 성공하면 이러한 두 부팅 세션의 PCR[7] 값이 달라야 합니다. 이 두 817 이벤트에 기록된 PCR[7] 값은 차이점을 알려줍니다. 이벤트 817에서 해당 부팅 세션에 대한 TCG 로그도 기록됩니다. TCG 로그를 구문 분석하는 도구가 있는 경우 PCR 확장에 대한 자세한 정보가 표시됩니다. 이러한 도구가 없는 경우 다음을 수행할 수 있습니다.

   1. Windows HLK Controller에서 테스트 머신으로 TBSLogGenerator.exe를 복사합니다. %systemdrive%\Program Files (x86)\Windows Kits\8.1\Hardware Certification Kit\Tests\<architecture>\NTTEST\BASETEST\ngscb에 있습니다. 여기서 <architecture>는 테스트 컴퓨터의 아키텍처입니다. 이는 amd64, x86 또는 Arm일 수 있습니다.

      TBSLogGenerator.exe는 TBSLogGenerator.exe가 실행될 때 부팅 세션에 대해 PCR 값 및 TCG 로그를 사람이 읽을 수 있는 형식으로 덤프합니다.

   2. BitLocker 복구를 트리거하는 단계를 반복합니다. BitLocker 복구에서 두 부팅 세션 모두에 대해 TBSLogGenerator.exe를 사용하여 PCR 값과 TCG 로그를 덤프합니다.

   3. 두 세트의 PCR 값과 TCG 로그를 분석하여 차이점을 찾습니다.