Corrigir "PCR7 binding is not supported" e ativar Criptografia de Dispositivo no Windows 11

O que significa essa mensagem

“PCR7 binding is not supported” indica que a cadeia de inicialização segura ligada às medições do TPM (Platform Configuration Registers, PCRs) não está ativa — normalmente por Secure Boot desativado ou por TPM não configurado no firmware. Sem essa integração, a Criptografia de Dispositivo nativa do Windows 11 não pode ser habilitada.

Termos breves:

• TPM 2.0: módulo de segurança que armazena chaves criptográficas do dispositivo.
• Modern Standby: modo de suspensão moderno que permite recursos de economia de energia com conectividade.
• UEFI: firmware moderno que substitui o BIOS legado e é necessário para Secure Boot.

Por que a Criptografia de Dispositivo pode estar ausente?

A Criptografia de Dispositivo do Windows 11 é dependente de hardware. Para que ela apareça e funcione, o sistema precisa suportar todos os itens a seguir:

• Módulo TPM 2.0 habilitado no firmware
• Suporte a Modern Standby
• Firmware UEFI (sem BIOS legado)

Mesmo que o Windows 11 esteja instalado, alguns fabricantes deixam Secure Boot ou TPM desativados por compatibilidade ou por configuração manual. O primeiro passo é verificar o estado desses componentes.

Como verificar se o Secure Boot está ativado

1. Pressione a tecla Win e digite System Information.
2. Clique com o botão direito em System Information e escolha Run as administrator.
3. Na coluna direita, localize Secure Boot State.
4. Se estiver Off, será necessário habilitar no BIOS/UEFI. Se estiver On, siga para checar o TPM e o Modern Standby.

Observação: em sistemas localizados, o nome do app pode aparecer como Informações do Sistema; o rótulo exibido dentro do Windows costuma manter os nomes técnicos em inglês.

Como ativar Secure Boot (passos gerais)

1. Salve todo trabalho e desligue o PC.
2. Ligue o PC e pressione repetidamente a tecla de acesso ao UEFI/BIOS (Ex.: F2, F10, F12, Del ou Esc — varia por fabricante).
3. No menu UEFI, navegue até a aba Boot ou Security.
4. Localize a opção Secure Boot e selecione Enabled.
5. Salve as alterações (normalmente Save & Exit) e reinicie.
6. Volte ao Informações do Sistema para confirmar que Secure Boot State está On.

Se o item Secure Boot estiver ausente no UEFI, verifique se o modo de inicialização está em UEFI (não em Legacy/CSM). Alterar de Legacy para UEFI pode exigir que o disco de sistema esteja em GPT em vez de MBR; consulte as instruções do fabricante antes de converter discos.

Como habilitar TPM 2.0 no BIOS/UEFI

1. Acesse o UEFI/BIOS como explicado acima.
2. Procure por Security, Trusted Computing ou Advanced > TPM Configuration.
3. Garanta que o TPM esteja Enabled e que a versão seja 2.0 (algumas placas mostram “PTT” ou “fTPM” para implementações Intel/AMD no firmware).
4. Salve e reinicie. No Windows, confirme em Device Security > Security processor > Security processor details.

Nota: em alguns modelos, o TPM aparece como “Discrete TPM” ou “Firmware TPM (fTPM)”. Ambos podem satisfazer o requisito, desde que a versão seja 2.0.

Se o painel mostrar “Hardware Security Test Interface failed” ou “Device is not Modern Standby supported”

Essas mensagens normalmente indicam que o hardware não oferece suporte ao Modern Standby ou que certas medições de firmware esperadas não existem. Opções práticas:

• Atualizar para Windows 11 Pro e usar BitLocker (criptografia por volume que não exige Modern Standby). Pros: integrado, gerenciamento via GPO/Intune. Cons: requer licença Pro.
• Usar soluções de terceiros (VeraCrypt, Diskcryptor, outros). Pros: funcionam em hardware mais antigo. Cons: gestão e recuperação de chaves podem ser mais manuais.
• Substituir hardware por um modelo compatível (quando viável em ambientes corporativos).

Importante: não invente chaves de recuperação; registre as chaves antes de ativar qualquer criptografia.

Passo a passo recomendado (SOP) para habilitar Criptografia de Dispositivo

1. Backup completo dos dados críticos.
2. Atualizar firmware/UEFI para a versão mais recente disponível no site do fabricante.
3. Entrar no UEFI/BIOS e habilitar Secure Boot e TPM 2.0.
4. Confirmar que o modo de boot está em UEFI e que o disco do sistema usa GPT.
5. Reiniciar e verificar Informações do Sistema: Secure Boot State = On; PCR7 message resolvido.
6. Habilitar Criptografia de Dispositivo em Settings > Privacy & Security > Device encryption (ou usar BitLocker em Pro).
7. Armazenar chaves de recuperação em local seguro (Microsoft Account, Active Directory, Azure AD, ou cofre físico).

Critérios de aceitação

• Secure Boot State aparece como On.
• TPM aparece como 2.0 no Security processor details.
• Informações do Sistema não mostra “PCR7 binding is not supported”.
• Criptografia de Dispositivo aparece como ativável ou BitLocker pode ser habilitado.

Checklists por função

Admin de TI:

• Verificar compatibilidade de hardware em inventário
• Testar atualização de firmware em máquinas-piloto
• Documentar procedimento de recuperação de chave e política de backup

Usuário doméstico:

• Fazer backup em disco externo ou nuvem
• Conferir atualização do fabricante antes de alterar UEFI
• Salvar chave de recuperação em local seguro

Modelos mentais e heurísticas rápidas

• “Se não há Secure Boot, não há PCR7”: comece pelo Secure Boot.
• “TPM presente mas não funcionando” costuma ser problema de firmware; habilitar no UEFI resolve 80% dos casos.
• “Não consigo alterar UEFI”: verifique a proteção contra gravação do fabricante ou presença de senha de supervisor.

Quando isso falha: casos e contraexemplos

• PC com BIOS legado (sem UEFI): não há suporte; a solução é migrar para hardware UEFI ou usar criptografia por software independente de firmware.
• Discos em MBR: mudar para GPT é necessário para alguns recursos UEFI; isso pode requerer conversão ou reinstalação.
• Máquinas virtuais: verifique se a VM tem TPM virtual e Secure Boot habilitados no hypervisor.

Alternativas e comparação rápida

• Criptografia de Dispositivo (Windows Home, hardware compatível): simples, automática, baseada em conta Microsoft/Azure AD.
• BitLocker (Windows Pro/Enterprise): flexível, gerenciável em empresa, precisa licença Pro.
• VeraCrypt e similares: independentes do hardware, boa opção para PCs antigos, exige gestão manual de chaves.

Fluxo de decisão (Mermaid)

flowchart TD
  A[Ver Informações do Sistema] --> B{Secure Boot On?}
  B -- Não --> C[Entrar no UEFI e habilitar Secure Boot]
  B -- Sim --> D{TPM 2.0 habilitado?}
  D -- Não --> E[Habilitar TPM no UEFI]
  D -- Sim --> F{Modern Standby suportado?}
  F -- Sim --> G[Ativar Criptografia de Dispositivo]
  F -- Não --> H[Considerar BitLocker ou solução 3ºs]
  C --> A
  E --> A

Segurança e privacidade

• Sempre gere e armazene a chave de recuperação antes de cifrar. Perder a chave pode tornar os dados irrecuperáveis.
• Em ambientes regulados (por exemplo, GDPR), documente onde as chaves são armazenadas e quem tem acesso.
• A criptografia protege dados em caso de perda/roubo do hardware; não substitui backups regulares.

Testes e critérios de aceitação para validação

• Teste 1: Após habilitar Secure Boot e TPM, Informações do Sistema não mostra “PCR7 binding is not supported”.
• Teste 2: Habilitar Criptografia de Dispositivo ou BitLocker e verificar se o disco é montado e o sistema inicializa normalmente.
• Teste 3: Reiniciar e testar recuperação com a chave de recuperação em ambiente controlado.

Resumo final

Resolver “PCR7 binding is not supported” normalmente exige habilitar Secure Boot e TPM 2.0 no UEFI/BIOS e garantir que o sistema usa UEFI/GPT e suporte a Modern Standby. Se o hardware não suportar esses requisitos, migre para BitLocker (Windows Pro) ou soluções de terceiros. Sempre faça backup e registre a chave de recuperação antes de ativar criptografia.

Importante: se você administra vários PCs, implemente esse procedimento primeiro em um grupo piloto e documente o processo de recuperação de chaves.

Sugestão rápida para compartilhamento: “Corrigi o erro PCR7 no Windows 11 ativando Secure Boot e TPM 2.0 no UEFI — backup e chave de recuperação salvos antes de cifrar.”