ملخص
توجد ثغرة أمنية في بعض شرائح "الوحدة النمطية" النظام الأساسي الموثوق به (TPM). مشكلة عدم الحصانة تضعف قوة المفتاح.
لمزيد من المعلومات حول مشكلة عدم الحصانة، انتقل إلى ADV170012.
مزيد من المعلومات
هام
لأنه يتم تخزين مفاتيح البطاقة الذكية الظاهري (VSC) في TPM فقط، أي جهاز يستخدم TPM المتأثرة عرضه.
اتبع هذه الخطوات للتخفيف من مشكلة عدم الحصانة في TPM ل VSC، كما هو موضح في ADV170012 النصائح الإرشادية للأمان ل Microsoft، عندما يتوفر تحديث للبرنامج الثابت TPM من الشركة المصنعة. ستقوم Microsoft بتحديث هذه الوثيقة كعوامل تخفيف مشاكل إضافية تتوفر.
استرداد BitLocker أو مفاتيح التشفير الجهاز أي قبل تثبيت تحديث البرامج الثابتة TPM.
المهم استرداد المفاتيح أولاً. إذا حدث فشل أثناء تحديث البرامج الثابتة TPM، "مفتاح الاسترداد" يجب إعادة تشغيل النظام مرة أخرى في حالة عدم توقف BitLocker أو حالة نشطة "تشفير الجهاز".
إذا كان لدى الجهاز BitLocker أو تمكين تشفير الجهاز، تأكد من أن استرداد مفتاح الاسترداد. ما يلي مثال لكيفية عرض BitLocker وجهاز تشفير مفتاح الاسترداد على وحدة تخزين واحدة. إذا كان هناك عدة أقسام القرص الثابت، قد يكون هناك "مفتاح استرداد" منفصلة لكل قسم. تأكد من حفظ "مفتاح الاسترداد" لوحدة تخزين النظام (عادة ما يكون C). إذا كان لديك وحدة تخزين نظام تشغيل مثبت على وحدة تخزين أخرى، قم بتغيير المعلمة وفقا لذلك.
في موجه الأوامر الذي لديه حقوق المسؤول بتشغيل البرنامج النصي التالي:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
إذا تم تمكين BitLocker أو تشفير الجهاز لوحدة تخزين نظام التشغيل، إلى إيقافه. ما يلي مثال لكيفية إيقاف BitLocker أو تشفير الجهاز. (إذا كان لديك وحدة تخزين نظام تشغيل مثبت على وحدة تخزين أخرى، تغيير المعلمة وفقا لذلك).
في موجه الأوامر الذي لديه حقوق المسؤول بتشغيل البرنامج النصي التالي:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
ملاحظة: في ويندوز 8 والإصدارات الأحدث، BitLocker وتشفير الجهاز استئناف تلقائياً بعد إعادة تشغيل واحدة. لذلك، تأكد من أن BitLocker وتشفير الجهاز المعلقة مباشرة قبل تثبيت تحديث البرامج الثابتة TPM. في Windows 7 وأنظمة سابقة، على BitLocker يدوياً تمكين مرة أخرى بعد تثبيت تحديث البرامج الثابتة.
تثبيت البرامج الثابتة القابلة للتطبيق التحديث إلى تحديث TPM المتأثرة كل تعليمات OEM
وهذا التحديث الذي تم إصداره من قبل الشركة المصنعة لمعالجة مشكلة عدم الحصانة في TPM. الرجاء مراجعة الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.
حذف وإعادة انتساب VSC
بعد تطبيق تحديث البرامج الثابتة TPM، يجب حذف مفاتيح ضعيفة. نوصي باستخدام أدوات الإدارة التي يقدمها الشركاء VSC (مثل إينتيرسيدي) لحذف VSC وإعادة انتساب القائمة.