خطة تقليل الأثر BitLocker بثغرة أمنية في TPM

نظرة عامة

يصف هذا المستند كيفية معالجة تأثير مشكلة عدم الحصانة في حماة المستندة إلى BitLocker TPM.

التأثير على أساليب أخرى أداة حماية BitLocker يجب أن يعاد بناء على كيفية حماية الأسرار ذات الصلة. على سبيل المثال، إذا محمية على مفتاح خارجي لإلغاء تأمين BitLocker إلى TPM، راجع النصائح الإرشادية لتحليل التأثير. معالجة آثار مشكلة عدم الحصانة هذه ليست في نطاق هذه الوثيقة.

كيفية تحديد التأثير

ختم TPM يستخدم BitLocker وإلغاء الختم العمليات جنبا إلى جنب مع مفتاح جذر التخزين حماية الأسرار BitLocker على وحدة تخزين نظام التشغيل.  مشكلة عدم الحصانة يؤثر على الختم إلغاء الختم العمليات على TPM 1.2، ولا تؤثر على العمليات على TPM 2.0.

عند استخدام أداة الحماية المستندة إلى TPM لحماية وحدة تخزين نظام التشغيل، يتأثر أمان حماية BitLocker فقط إذا كان إصدار البرامج الثابتة TPM 1.2.

لتحديد وحدات Tpm و TPM المتأثرة الإصدارات، راجع "2. تحدد الأجهزة في المؤسسة التي تأثرت "ضمن" أوصى إجراءات "في ADV170012 النصائح الإرشادية للأمان ل Microsoft.

للتحقق من حالة BitLocker، قم بتشغيل "manage-bde--حالة < حرف وحدة تخزين نظام التشغيل: >" في موجه الأوامر كمسؤول الكمبيوتر.

الشكل 1 إخراج نموذج وحدة تخزين نظام التشغيل المحمي بواسطة كل أداة حماية TPM وأداة حماية "كلمة مرور الاسترداد".  (تشفير الجهاز لا يتأثر بهذه الثغرة الأمنية TPM.)

إصلاح مشكلة عدم الحصانة BitLocker بعد تحديث البرامج الثابتة

اتبع هذه الخطوات لتصحيح مشكلة عدم الحصانة:

1. تعليق حماية BitLocker: تشغيل "manage-bde--حماة < حرف وحدة تخزين نظام التشغيل: > – تعطيل" كمسؤول الكمبيوتر.

2. قم بمسح TPM. للحصول على إرشادات، راجع "6. مسح TPM "ضمن الإجراءات الموصى بها" في ADV170012 النصائح الإرشادية للأمان من Microsoft.

3. استئناف حماية BitLocker تلقائياً بعد إعادة تشغيل Windows 8 والإصدارات اللاحقة من Windows. ل Windows 7، بتشغيل "manage-bde--حماة < حرف وحدة تخزين نظام التشغيل: > -تمكين" كمسؤول الكمبيوتر لاستئناف حماية BitLocker.

توفر الصفحة التالية مرجع سطر أوامر الكامل لإدارة-bde.exe:

https://technet.microsoft.com/library/ff829849(v=ws.11).aspx