PCR7 nicht unterstützt — Gerätverschlüsselung aktivieren
Überblick
Windows 11 bietet auf kompatiblen Geräten eine integrierte Grundverschlüsselung (‘Device Encryption’). Sie ist leichter zugänglich als BitLocker, benötigt aber bestimmte Hardwarevoraussetzungen. Die Meldung ‘PCR7 binding is not supported’ weist typischerweise auf ein Problem mit Secure Boot oder TPM hin. Dieser Artikel führt durch Prüfung, Behebung und Alternativen.
Bildbeschreibung: Offener Laptop mit Windows-Systeminformationen, Hinweis auf fehlende Gerätverschlüsselung und PCR7-Meldung
Voraussetzungen für Device Encryption
Damit die integrierte Gerätverschlüsselung unter Windows 11 funktioniert, müssen folgende Punkte erfüllt sein:
- TPM 2.0 (Trusted Platform Module) aktiviert im UEFI
- Unterstützung für Modern Standby
- UEFI-Firmware (kein Legacy/BIOS)
Wenn einer dieser Punkte fehlt, erscheint Device Encryption möglicherweise nicht oder zeigt Fehlermeldungen wie ‘PCR7 binding is not supported’ oder ‘Hardware Security Test Interface failed’.
Wichtig: BitLocker ist eine separate, leistungsfähigere Verschlüsselungslösung, die in Windows 11 Pro verfügbar ist und weniger abhängig von Modern Standby ist.
Systeminformationen prüfen
Bevor Sie Änderungen am BIOS/UEFI vornehmen, prüfen Sie den aktuellen Status:
- Drücken Sie die Win-Taste und geben Sie Systeminformationen ein.
- Alternativ: Win+R drücken und msinfo32 ausführen.
- Öffnen Sie die App Systeminformationen.
- Scrollen Sie in der rechten Spalte und suchen Sie nach Secure-Boot-Status und TPM-Status.
Bildbeschreibung: Fenster der Systeminformationen mit Markierung des Secure-Boot-Status und Hardware-Sicherheitsinformationen
Wenn Secure-Boot auf Off steht oder TPM als nicht aktiv angezeigt wird, fahren Sie mit den folgenden Schritten fort.
Secure Boot aktivieren im UEFI/BIOS
Hinweis: Die genaue Tastenkombination zum Aufruf des BIOS/UEFI unterscheidet sich je nach Hersteller. Häufige Tasten sind F2, F10, F12, Esc oder Entf.
Schritte zum Aktivieren von Secure Boot:
- Sichern Sie Ihre Arbeit und fahren Sie den PC herunter.
- Schalten Sie den PC ein und drücken Sie die vom Hersteller vorgegebene Taste, um das UEFI/BIOS aufzurufen.
- Navigieren Sie zum Bereich Boot, Security oder Authentication.
- Finden Sie die Einstellung Secure Boot und stellen Sie sie auf Enabled.
- Falls vorhanden, setzen Sie den Secure-Boot-Modus auf Standard/Windows UEFI mode.
- Speichern Sie die Änderungen und starten Sie das System neu.
Tipp: Manche Systeme verlangen, dass Sie zuerst Legacy Support deaktivieren oder CSM (Compatibility Support Module) ausschalten, um Secure Boot zu aktivieren.
Bildbeschreibung: UEFI/BIOS-Bildschirm mit hervorgehobener Option zum Aktivieren von Secure Boot
TPM 2.0 aktivieren
Viele moderne Mainboards haben TPM als ‘PTT’ (Platform Trust Technology) oder ‘fTPM’ bezeichnet. Vorgehen:
- Starten Sie das UEFI/BIOS wie oben beschrieben.
- Suchen Sie nach Einträgen zu TPM, fTPM, PTT oder Security Chip.
- Stellen Sie TPM auf Enabled oder Activate.
- Speichern und neu starten.
Nach dem Neustart erneut Systeminformationen prüfen: TPM sollte als Version 2.0 erscheinen.
Hinweis: Bei einigen OEMs muss TPM nach Firmware-Updates neu initialisiert werden. Folgen Sie den Herstelleranweisungen.
Wenn Modern Standby oder HSTI fehlt
Die Meldung ‘Hardware Security Test Interface failed’ oder dass das Gerät nicht Modern Standby unterstützt, bedeutet oft, dass die Hardware oder Firmware kein modernes Energiemanagement bereitstellt. In solchen Fällen haben Sie folgende Optionen:
- Upgrade auf Windows 11 Pro und Verwendung von BitLocker (nicht zwingend an Modern Standby gebunden).
- Nutzung etablierter Drittanbieter-Verschlüsselungen wie VeraCrypt.
- Austausch oder Upgrade der Hardware, falls möglich.
Wichtig: Ein Upgrade auf Windows 11 Pro ist ein Softwareweg, der BitLocker freischaltet, aber nicht alle Einschränkungen der Hardware aufhebt.
Schritt-für-Schritt-Playbook für Endbenutzer
- Prüfen: Systeminformationen öffnen, Secure-Boot-Status und TPM-Status lesen.
- Firmware prüfen: Herstellerseite für BIOS/UEFI-Updates konsultieren.
- Secure Boot aktivieren im UEFI/BIOS.
- TPM aktivieren (fTPM/PTT) im UEFI/BIOS.
- System neu starten und Systeminformationen erneut prüfen.
- Falls weiterhin Probleme bestehen: BitLocker- oder Drittanbieter-Optionen erwägen.
Playbook für IT-Administratoren
- Vorbereitungen: Backup der wichtigsten Daten, Inventarisierung betroffener Geräte, Herstellerdokumentation prüfen.
- Remote-Firmware-Management: Firmwarepolicy prüfen, automatisierte UEFI-Profile verteilen.
- Prüfungen: Gruppenrichtlinien auf BitLocker-/Hardware-Anforderungen ausrichten.
- Rollout: Testgruppe, Monitoring der Fehlermeldungen, abgestufte Verteilung.
Entscheidungsbaum (Mermaid)
flowchart TD
A[System zeigt 'PCR7 binding is not supported'] --> B{Secure-Boot aktiviert?}
B -- Ja --> C{TPM 2.0 aktiviert?}
B -- Nein --> D[UEFI: Secure Boot aktivieren]
C -- Ja --> E[Prüfe Modern Standby und HSTI]
C -- Nein --> F[UEFI: TPM aktivieren]
E -- Unterstützt --> G[Device Encryption aktivieren testen]
E -- Nicht unterstützt --> H[Optionen: BitLocker/Pro oder Drittanbieter]
F --> I[Neustart und Kontrolle im msinfo32]
D --> I
I --> ERollback- und Incident-Runbook für kritische Fälle
- Vor Änderung: Vollständiges Backup anlegen.
- Bei UEFI-Fehlern: CMOS-Reset dokumentieren, Hersteller-Support kontaktieren.
- Wenn Windows nicht mehr bootet: UEFI rücksetzen, Secure Boot temporär deaktivieren, Reparatur-Tools einsetzen.
- Nach Behebung: Dokumentation der Schritte, Tests und Nutzerbenachrichtigung.
Alternativen zur integrierten Gerätverschlüsselung
- BitLocker (Windows 11 Pro): Vollwertiges Microsoft-Feature, bessere Management-Optionen in Unternehmensumgebungen.
- VeraCrypt: Open-Source-Alternative für Dateisystem- oder Container-Verschlüsselung.
- Diskcryptor und andere Tools: Prüfen Sie Kompatibilität und Wartbarkeit.
Beachten Sie bei Drittanbieter-Lösungen Datenschutz- und Kompatibilitätsaspekte, besonders in Unternehmensumgebungen.
Rolle-basierte Checklisten
Endbenutzer:
- Backup erstellen
- Systeminformationen prüfen
- Herstellerdokumentation lesen
- Secure Boot und TPM aktivieren (wenn möglich)
- Bei Unsicherheit IT kontaktieren
IT-Administrator:
- Hardware-Inventar auf TPM/UEFI prüfen
- Firmware-Update-Plan
- Gruppenrichtlinien für BitLocker prüfen
- Test- und Rollout-Plan erstellen
Kurze Glossarzeile
TPM: Hardware-Chip zur Schlüsselspeicherung. UEFI: Moderne Firmware-Schnittstelle. Modern Standby: Energiemanagement-Modus für schnelle Reaktivierung.
Wann diese Anleitung nicht hilft
- Alte Geräte ohne TPM-Hardware oder ohne UEFI können nicht zur integrierten Device Encryption gebracht werden.
- Manche OEM-spezifischen UEFI-Implementierungen blockieren Secure Boot oder TPM-Änderungen ohne Hersteller-Tools.
Zusammenfassung
- ‘PCR7 binding is not supported’ weist auf fehlendes oder falsch konfiguriertes Secure Boot/TPM hin.
- Prüfen Sie Systeminformationen, aktivieren Sie Secure Boot und TPM im UEFI, und prüfen Sie Modern Standby.
- Wenn Hardware nicht kompatibel ist, bleiben BitLocker (Pro) oder Drittanbieter-Lösungen als praktikable Alternativen.
Wichtig: Vor Firmware- oder UEFI-Änderungen stets ein vollständiges Backup erstellen und die Herstelleranweisungen beachten.
FAQ
Was bedeutet ‘PCR7 binding is not supported’?
Die Meldung bedeutet, dass für die Integrität der Boot-Kette eine PCR7-Prüfung nicht möglich ist, typischerweise weil Secure Boot oder TPM nicht aktiviert sind.
Kann ich BitLocker statt Device Encryption nutzen?
Ja. BitLocker ist in Windows 11 Pro verfügbar und funktioniert in vielen Fällen, auch wenn Modern Standby nicht unterstützt wird.
Ähnliche Materialien
Hintergrund vom iPhone-Foto entfernen
Google Kalender: Wetter, Sport, TV & mehr anzeigen
Power-Modus in Windows 11 ändern
Schneller tippen mit Fleksy-Tastatur
PCR7 nicht unterstützt — Gerätverschlüsselung aktivieren
